Expositor: Ing.

Irwing Lozano
Administrador de Redes y Servidores
Correo: irwingjoshua@gmail.com
Celular: 3224-4829

Tema:
Servidor Firewall + Proxy
Topologa Shorewall
Que es un Firewall
Un cortafuegos (firewall en ingls) es una parte de un sistema o una red que est diseada para
bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.
Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar,
descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros
criterios.
Los cortafuegos pueden ser implementados en hardware o software, o una combinacin de
ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no
autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets.
Todos los mensajes que entren o salgan de la intranet pasan a travs del cortafuegos, que
examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad
especificados. Tambin es frecuente conectar al cortafuegos a una tercera red, llamada zona
desmilitarizada o DMZ, en la que se ubican los servidores de la organizacin que deben
permanecer accesibles desde la red exterior.
Un cortafuegos correctamente configurado aade una proteccin necesaria a la red, pero que en
ningn caso debe considerarse suficiente. La seguridad informtica abarca ms mbitos y ms
niveles de trabajo y proteccin.

Qu es Shorewall?
Shorewall es un lenguaje de alto nivel de propsito especfico para manipular la
infraestructura de control de paquetes del ncleo Linux, Netfilter.
Ms especficamente, Shorewall es un script en lenguaje BASH (o en Perl en caso que
deseemos utilizar shorewall-perl) que interpreta una serie de archivos de configuracin a
partir de los cuales hace sucesivas llamadas a iptables para definir el conjunto de reglas
necesarias representadas por la configuracin.
Adems de iptables, Shorewall tambin utiliza otras herramientas para controlar otros
mdulos de red ncleo Linux como modprobe (para cargar los mdulos de Netfilter),
iproute (para la definicin de reglas de ruteo) y tc (para el control de trfico de paquetes).

Caractersticas y funcionalidades de Shorewall
Permite el filtrado de paquetes stateful gracias a las capacidades de monitoreo de conexiones
de Netfilter.
Puede utilizarse en mltiples aplicaciones de router (enrutador), firewall (corta-fuegos) o
gateway (pasarela).
Completamente configurable mediante el uso de archivos de configuracin.
Nmero de interfaces de red ilimitadas.
Permite dividir las redes en zonas, permitiendo extenso control sobre las conexiones
establecidas entre ellas.
Mltiples interfaces por zona y mltiples zonas por interfaz.
Soporta zonas anidadas y solapadas.

Guas para ayudarnos a configurar firewalls rpidamente.
Interfaz grfica de configuracin provista por Webmin 1.060 y versiones posteriores
(http://www.webmin.com)
Extensa documentacin disponible en mltiples formatos.
Administracin de direccionamiento y ruteo flexibles (pudiendo combinar cada tcnica en un
nico firewall):
Masquerading/SNAT.
Port Forwarding (DNAT).
NAT Uno-A-Uno.
Proxy ARP.
NETMAP.
Soporte para mltiples proveedores de Internet.

Soporte para listas negras de sub-redes y direcciones IP individuales.
Soporte operacional.
Comandos para iniciar, detener y limpiar el firewall.
Soporta monitoreo de estado con alarmas sonoras ante la deteccin de actividad de red
particular.
Gran cantidad de comandos de informacin.
Soporte de VPNs.
IPSEC, GRE, IPIP y tneles OpenVPN.
Clientes y servidores PPTP.
Soporte para control de trfico y congestin.
Soporte para mltiples distribuciones de GNU/Linux.
Paquetes en formato RPM y Debian disponibles.

Provee scripts de instalacin y actualizacin automticos para los usuarios que no pueden o no
desean utilizar los paquetes RPM o Debian.
Incluido en la mini-distribucin LEAF/Bering.
Verificacin de direcciones MAC (Media Access Control).
Auditoria de trfico.
Soporte de bridging.

Cundo conviene utilizar Shorewall?
A juzgar por la seccin anterior, debera ser bastante claro que Shorewall es un firewall
extremadamente flexible y configurable. Hasta ahora no he encontrado ninguna situacin en
donde Shorewall no pudiera adecuarse de manera fcil y rpida.
A pesar de esto, creo que Shorewall puede ser demasiado cuando uno solo quiere asegurar una
estacin de trabajo conectada a Internet. En estos casos yo generalmente recomiendo
FirewallBuilder, FireStarter o herramientas similares (o las herramientas provistas por la distro
como system-config-firewall de Fedora).
Shorewall realmente se destaca cuando queremos conectar dos zonas (una red hogarea contra
la Internet) o ms, siendo cada vez ms conveniente a medida que la situacin se torna cada vez
ms sofisticada, por ejemplo, conectar mltiples ISP con control de trfico, DMZ y zonas internas
distinguidas.
Ahora bien, habiendo tantas herramientas de gestin de firewalls disponibles, Cundo conviene
construir un firewall utilizando iptables desde shell scripts?.
La respuesta, yo creo, es bastante sencilla: Cuando queremos aprender el funcionamiento interno
de Netfilter. Una vez que uno domina esta tcnica es cuando realmente puede apreciar una
herramienta como Shorewall.

Topologa Squid
Que es un Proxy
Un proxy de conexin a Internet es un servidor que hace de intermediario entre los PCs de la red
y el router de conexin a Internet, de forma que cuando un usuario quiere acceder a Internet, su
PC realiza la peticin al servidor Proxy y es el Proxy quien realmente accede a Internet.
Posteriormente, el Proxy enviar los datos al PC del usuario para que los muestre en su pantalla.
El PC del usuario no tendr conexin directa con el router, sino que acceder a Internet por
medio del proxy.
Que es Squid
Squid es el software para servidor Proxy ms popular y extendido entre los sistemas operativos
basados sobre UNIX. Es muy confiable, robusto y verstil. Al ser software libre, adems de
estar disponible el cdigo fuente, est libre del pago de costosas licencias por uso o con
restriccin a un uso con determinado nmero de usuarios.
Entre otras cosas, Squid puede hacer Proxy y cache con los protocolos HTTP, FTP, GOPHER y
WAIS, Proxy de SSL, cache transparente, WWCP, aceleracin HTTP, cache de consultas DNS y
otras muchas ms como filtracin de contenido y control de acceso por IP y por usuario.

NOTA ESPECIAL: Squid no puede funcionar como proxy para servicios como SMTP, POP3,
TELNET, SSH, etc.
Ventajas de disponer de un proxy:

Los PCs de los usuarios no tienen acceso al router, todas las comunicaciones exteriores
pasarn por el Proxy, lo que nos permitir tener las comunicaciones bajo control.
Las pginas se cachean en la memoria temporal del proxy lo cual acelera la descarga cuando
varios usuarios acceden a las mismas pginas a la vez. Esta circunstancia se da mucho en los
centros educativos cuando el profesor est explicando un tema y todos los alumnos acceden
a la vez a la misma pgina.
Es fcil crear una lista de urls prohibidas a las que el proxy denegar el acceso.
Permite crear una lista de palabras prohibidas en url. El proxy denegar el acceso cuando se
introduzcan en formularios de bsqueda o en la barra de direcciones.
Se puede permitir o denegar el acceso a subredes o a PCs concretos.
El proxy guarda informes de todas las conexiones que hacen los usuarios. Al principio puede
ser interesante ver a qu pginas de contenido inadecuado acceden nuestros alumnos, para
agregarlas a la lista de urls prohibidas.
Los PCs de nuestra red estn ms seguros de ataques externos ya que el proxy hace de
barrera cortafuegos.
Squid por defecto utilizar el puerto 3128 para atender peticiones, sin embargo se puede
especificar que lo haga en cualquier otro puerto o bien que lo haga en varios puertos a la vez.
En el caso de un Proxy Transparente, regularmente se utilizar el puerto 80 y se valdr del
redireccionamiento de peticiones de modo tal que no habr necesidad alguna de modificar la
configuracin de los navegadores Web para utilizar el servidor Proxy. bastar con utilizar como
puerta de enlace al servidor. Es importante recordar que los servidores Web, como Apache,
tambin utilizan dicho puerto, por lo que ser necesario reconfigurar el servidor Web para utiliza
otro puerto disponible, o bien desinstalar o deshabilitar el servidor Web.
Hoy en da ya no es del todo prctico el utilizar un Proxy Transparente, a menos que se trate de
un servicio de Caf Internet u oficina pequea, siendo que uno de los principales problemas con
los que lidian los administradores es el mal uso y/o abuso del acceso a Internet por parte del
personal. Es por esto que puede resultar ms conveniente configurar un servidor Proxy con
restricciones por contrasea, lo cual no puede hacerse con un Proxy Transparente, debido a que
se requiere un dilogo de nombre de usuario y contrasea.
Otro problema al utilizar un proxy transparente es que tiene problemas y denegacion con
paginas HTTPS