pp

 

Cortafuegos desmitificados

 

Las empresas suelen creer que los cortafuegos, o firewalls, son piezas de hardware que para cumplir su misión de mantener alejados a los intrusos deben ser extremadamente costosas y sofisticadas. Sin embargo, uno de los principales usos que se le da a Linux y Unix es precisamente encargarse de esta tarea ya que suelen ser alternativas muy seguras y debajo costo.

Los cortafuegos comerciales suelen ser muy costosos y algunos de los más populares suelen tener inmensos agujeros de seguridad. En mi experiencia diaria, suelo encontrarme que el principal papel de los servidores Linux, reales o virtuales, es hacer de cortafuegos debido a la gran estabilidad que poseen, la gran capacidad de ajustes que se pueden hacer y los pocos agujeros de seguridad que presentan.

Sin embargo, muchas empresas pequeñas no suelen optar por esta opción por miedo a lo complicado que pueda ser poner a funcionar un servidor en Linux o Unix, especialmente si no cuentan con los conocimientos necesarios en su staff de TI. No obstante, hay buenas noticias, no hace falta ser un experto en Unix para lograr que el cortafuegos funcione y una vez configurado la intervención que se requiere es mínima.

Instalación amigable

Las nuevas distribuciones de Linux, como Red Hat, Ubunto o Suse, se encargan de la gran mayoría de los ajustes necesarios. La persona que instale el software sólo debe estar consciente del funcionamiento de un Firewall, y debe escoger la opción que permita que el nuevo servidor actúe como enrutador para permitir el tráfico hacia y desde la Internet. Otra opción muy aconsejable es instalar alguna versión gratuita de Unix como FreeBSD o Solaris. En el caso de estos últimos puede ser necesario recompilar el kernel del sistema, algo relativamente fácil si se hace siguiendo las instrucciones que se consiguen en la Internet.

De presentarse problemas durante la instalación hay multitud de referencias en la Web que lo ayudaran a resolver su problema en la mayoría de los casos. De no ser así se puede acudir a las listas de usuarios que le ayudarán gustosamente.

Una vez instalado el sistema operativo  es aconsejable instalar una herramienta de administración remota como lo puede ser Webmin (http://www.webmin.com). Esta, además de ser gratuita, le permitirá manejar múltiples aspectos propios del sistema operativo desde una sencilla interfaz Web, sin tener que memorizar los diferentes caminos y ubicaciones de los archivos de configuración de Unix o Linux, algo que lleva años aprender de memoria.

Para que un PC sirva como cortafuegos debe estar equipado con al menos dos interfaces de red (tarjetas de red) una de las cuales esté conectada a la Internet y la otra a la red interna. Se debe contar además con un esquema de direcciones virtuales dentro de la empresa (direcciones que son sólo válidas en el ámbito de la red interna) y al menos una dirección IP real que se le asigne al cortafuegos.

La técnica para que las maquinas con direcciones virtuales, dentro de la red, se comuniquen con la Internet a través de una sola dirección real se conoce como Traducción de Direcciones de Red o NAT por sus siglas en inglés. Allí está el corazón del enrutador. La configuración del Nat es sencilla y para evitar que se produzcan abusos desde afuera se debe utilizar algún programa de cortafuegos como puede ser el IPFW o IPTABLES, ambos de código libre e incluidos en la mayoría de los CD de instalación de los sistemas operativos ya nombrados.

Una vez instalados estos programas, se les debe indicar mediante reglas que tráfico deben permitir y cual no. Al usar un programa como webmin las cosas se facilitan. En la Internet se encuentran numerosos ejemplos de configuración que se asemejan más a lo que se requiere en la vida real. Se deben cerrar todos los puertos no necesarios a fin de minimizar el riesgo.

Para permitir el acceso desde el exterior a servidores internos (correo, servidor Web, etc.) se debe configurar el NAT para que redirija esos puertos. También hay programas como TransProxy, también software libre, que hacen más sencillo este redireccionamiento.

Tras este sencillo proceso, sólo queda actualizar de manera periódica el sistema operativo, para aplicar los parches de seguridad que mantengan alejados a los intrusos         

Alcides León
aleon@pcworld.com.ve



Negocio con el software libre

Para aquellas personas que aun dudan de que el software libre sea autosostenible en el tiempo bastará con que le echen un  ojo a los beneficios obtenidos por HP durante el año recientemente concluido. Sólo en la región EMEA (Europa, Medio Oriente y África) hay beneficios que se sindican al soporte a Debian, una distribución gratuita de Linux, por más de 25 Millones de dólares según Linux Planet (http://www.linuxplanet.com/linuxplanet/newss/6361/1/).

HP recién comenzó a brindar soporte a esta distribución a mediados del 2005, por lo que estas cifras no dejan de sorprender y auguran un crecimiento comparable durante el 2007. En adición a Debian HP también brinda soporte a Red Hat y Novell Suse Linux.


Obtenga software Grátis en FileWorld el archivo de PCWORLD

Visite el site de PCWORLD Latinoamérica
 Asesor de Nuevos Medios Alcides León
CC. El Recreo, torre Sur, piso 1,
Caracas, 1060, Venezuela. Teléfonos (58) 212 750.50.11
Comercialización: mcastillo@gep.com.ve