Next: Supervisión en UNIX.
Up: Seguridad en red
Previous: El demonio in.routed
Si se abre la máquina a internet puede ser una buena idea tener una
única máquina conectada a la red[Cur90]. Esta máquina puede
configurarse como lo que se denomina firewall. Básicamente un
firewall conste en una máquina en la que se ha desactivado el enrutamiento
de IP. Mediante este servicio una máquina encamina paquetes de
aquellas que se encuentran en su tabla de enrutamiento. En Solaris 2 existe
la posibilidad de hacerlo con el comando ndd:
# ndd /dev/ip ip_forwardind 0
Si se a nade esta línea al fichero /etc/rc2.d/S69inet se desactiva
definitivamente el encaminamiento de paquetes.
El construir un firewall, responde la necesidad de proteger nuestra
red de accesos no autorizados[Ran94], y sobre todo para prevenir la salida
de información no comunicada o bien no autorizada. Montar un
firewall en una red requiere centrar todos los esfuerzos de seguridad en la
máquina que configuramos como tal. Es importante que su seguridad no se vea
comprometida, porque si no, dejamos al descubierto nuestra red local.
Algunos de los componentes comunes dentro de las distintas configuraciones
cuando conectamos nuestro sistema a un firewall son los siguientes:
- Router Apantallado.
- Puede ser un router comercial, o bien, un host
configurado a tal efecto que tenga capacidad de filtrar paquetes. Tienen
capacidad de bloquear el tráfico procedente de determinados hosts.
- Host Bastión.
- Es el punto de la red crítico en cuanto a seguridad,
debido a que si su seguridad es violada nuestra red se puede ver
comprometida. Generalmente tienen software de seguridad y tienen un control
exhaustivo de los audits.
- Gateway dual.
- Algunos firewalls se construyen sin el primero de
los elementos, simplemente conectando un host sin enrutamiento IP entre
nuestra red e internet. Podemos comunicarnos desde nuestra red con el
gateway, o desde fuera con el mismo, pero no se permite tráfico directo
entre ambas redes.
- Gateway de host apantallado.
- Es posiblemente la estructura más común
para firewals. Se construye a partir de un router apantallado y un host
bastión. Este último se sitúa en nuestra red local, y el primero se
configura de tal forma que sea el host bastión el único de nuestra red al
que se puede llegar desde internet. Además en el router se
bloquea el tráfico con destino a ciertos puertos del host bastión,
permitiendo sólo la utilización de un reducido número de servicios.
Existen más configuraciones de firewalls, pero estas vistas son las más
comunes.
Es importante cuando se tiene un firewall controlar ciertos aspectos como:
- Control de da nos. Si el firewall cae, hay que tener claros los pasos
que se deben seguir.
- Zonas de riesgo. Ver lo grande que es la zona de riesgo durante la
operación normal del firewall. Una medida de esto puede ser el número de
hosts y router que pueden ser probados desde fuera.
- Modo de fallos. Si se traspasa el firewall, hay que comprobar si va a
ser fácil de detectar, para ello hay que ver la información que se guarda
para poder diagnosticar el ataque.
- Facilidad de uso. Medir los inconvenientes que plantea el firewall.
- Postura. Es la idea básica de dise no de un firewall: ``Aquello que no
está expresamente prohibido, está permitido''.
Next: Supervisión en UNIX.
Up: Seguridad en red
Previous: El demonio in.routed
Celestino Gomez Cid (adm)
Fri Mar 22 16:20:52 MET 1996