Professional Documents
Culture Documents
(http://www.MandrakeSoft.com)
MandrakeSecurity: Multiple Network Firewall; Guı́a del Usuario
Publicado 2002-06-15
Copyright © 2002 MandrakeSoft SA
por Camille Bégnis, Christian Roy, Fabian Mandelbaum, Joël Pomerleau, y Florin Grad
Tabla de contenidos
Prefacio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
1. Nota legal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
2. Acerca de Mandrake Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
2.1. Contacte con la comunidad Mandrake . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
2.2. Soporte a Mandrake . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ii
2.3. Compre productos Mandrake . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ii
3. Acerca de esta Guía de Instalación y del Usuario de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . iii
4. Autores y traductores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iii
5. Palabras del traductor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
6. Las herramientas usadas en la elaboración de este manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
7. Convenciones usadas en este libro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
7.1. Convenciones tipográficas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
7.2. Convenciones generales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v
1. Comenzando . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.1. Guías para comenzar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2. Requisitos de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
2. Instalación con DrakX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
2.1. Introducción al instalador de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2.2. Eligiendo su idioma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2.3. Términos de licencia de la distribución . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.4. Detección y configuración del disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.5. Configuración de su ratón . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.6. Configuración del teclado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.7. Selección de los puntos de montaje . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.8. Elección de las particiones a formatear . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.9. Instalación de los paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.10. Contraseña de root . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.11. Contraseña del administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.12. Agregar un usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.13. Configurar su red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.14. Donde debería colocar el cargador de arranque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.15. Disquete de arranque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.16. Instalación de actualizaciones desde la Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.17. ¡Se terminó! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
2.18. Como desinstalar Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
I. Administración y configuración de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3. Configuración básica de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.2. Configuración básica del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.3. Configuración de tarjetas Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.4. Cambiando la contraseña del administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.5. Registro del sistema sobre las máquinas locales/remotas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.6. Configuración de la hora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4. Configurando el acceso a la Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.1. Estado del acceso a la Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.2. Configuración del módem analógico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.3. Configure su acceso a la Internet por RDSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
4.4. Configuración de la conexión ADSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.5. Configuración de la conexión por Cable/LAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
4.6. Configuración de las cuentas del proveedor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
4.7. Restricción horaria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
5. Servicios: DHCP, Proxy, DNS, y más . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
5.1. Estado de los servicios que se brindan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
5.2. Servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
5.3. Servidor proxy Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
5.4. DNS de cacheo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
5.5. Sistema de detección de intrusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
iii
5.6. Activación de los servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
6. Configurando el comportamiento propiamente dicho del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
6.1. Control principal del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
6.2. Definición de las zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
6.3. Configuración del enmascarado, NAT estática y Proxy ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
6.4. Configuración de las políticas predeterminadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
6.5. Configuración de las reglas del cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .83
6.6. Manteniendo la Lista Negra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
6.7. Configuración de las reglas de Tipo de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
7. Configuración de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
7.1. ¿Qué es una VPN? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
7.2. ¿Por qué una VPN? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
7.3. Configurando un Servidor VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
7.4. Configurar un Cliente VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
8. Configuración de los clientes “enmascarados” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
8.1. Máquina Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
8.2. Máquina Windows XP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
8.3. Máquina Windows 95 o Windows 98 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
8.4. Máquina Windows NT o Windows 2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
8.5. Máquina DOS utilizando el paquete NCSA Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
8.6. Windows para Trabajo en Grupo 3.11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
8.7. Máquina MacOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
8.8. Máquina OS/2 Warp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
9. Monitoreando el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
9.1. Utilización de la red y del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
9.2. Registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
10. Herramientas de administración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
10.1. Conexión remota utilizando SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
10.2. Respaldar y Restaurar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
10.3. Actualizar el software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .133
II. Teoría aplicada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
11. Seguridad bajo GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
11.1. Preámbulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
11.2. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
11.3. Seguridad física . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
11.4. Seguridad local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
11.5. Seguridad de los archivos y del sistema de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
11.6. Seguridad con contraseñas y cifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
11.7. Seguridad del núcleo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
11.8. Seguridad de la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
11.9. Preparación para la seguridad (antes que Usted vaya en línea) . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
11.10. Qué hacer durante y después de un irrupción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
11.11. Fuentes sobre seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
11.12. Preguntas formuladas con frecuencia (FAQ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
11.13. Conclusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Términos relacionados con la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
12. Generalidades sobre redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
12.1. Copyright . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
12.2. Cómo usar este capítulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
12.3. Información general acerca de las redes en Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
12.4. Información genérica sobre la configuración de redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
12.5. Información sobre Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
12.6. Información relacionada con IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
12.7. Utilizando hardware común de PC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .187
12.8. Otras tecnologías de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
12.9. Cables y cableado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
A. Dónde encontrar información adicional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
........................................................................................................
B. La Licencia Pública General GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
iv
B.1. Preámbulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
B.2. Términos y condiciones para la copia, distribución y modificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
B.3. Cómo aplicar estos Términos a sus programas nuevos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
C. Licencia de Documentación Libre GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
C.1. Acerca de la traducción al castellano de la Licencia de Documentación Libre GNU . . . . . . . . . . . . . . 209
C.2. Licencia de Documentación Libre GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
0. PREÁMBULO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
1. APLICABILIDAD y DEFINICIONES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
2. COPIADO TEXTUAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
3. COPIADO EN CANTIDAD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
4. MODIFICACIONES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
5. COMBINANDO DOCUMENTOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
6. COLECCIONES DE DOCUMENTOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
7. AGREGACIÓN CON TRABAJOS INDEPENDIENTES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
8. TRADUCCIÓN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
9. TERMINACIÓN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .213
10. REVISIONES FUTURAS DE ESTA LICENCIA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
C.3. Cómo usar esta Licencia para sus documentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
v
vi
Lista de tablas
1. Material importado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
1-1. Requisitos de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
12-1. Asignaciones reservadas de redes privadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Tabla de figuras
2-1. Primerísima pantalla de Bienvenida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2-2. Eligiendo el idioma predeterminado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3-1. La ventana de conexión para conectarse a MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3-2. Pantalla de bienvenida de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3-3. La entrada del menú para desconectarse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
7-1. Esquema de conexión VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
7-2. Añadiendo una zona VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
7-3. Añadiendo una interfaz de red ipsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
7-4. Añadiendo políticas predeterminadas para la VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
7-5. Añadiendo un túnel en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
7-6. Configurando la CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
7-7. Disposición de la VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
7-8. Añadiendo un lado del Servidor VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
7-9. Regla para permitir el tráfico HTTP sobre la VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
7-10. Añadiendo el lado Cliente de una VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
8-1. Volviendo a configurar la red local con Draknet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
8-2. Configurando la pasarela con Draknet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
8-3. Configurando la pasarela con Windows XP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
8-4. El icono de red bajo Windows 95/98 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
8-5. El panel de configuración de la red bajo Windows 95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
8-6. El panel de configuración TCP/IP bajo Windows 95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
8-7. El panel de configuración de la pasarela bajo Windows 95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
8-8. El panel de configuración del protocolo bajo Windows NT/2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
8-9. El panel de software de red bajo Windows NT/2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
8-10. El panel de configuración TCP/IP bajo Windows NT/2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
8-11. El panel de configuración de DNS bajo Windows NT/2000. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111
8-12. Accediendo al panel de control TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
8-13. Configuración automática del acceso a la Internet para MacOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
8-14. Configuración manual del acceso a la Internet para MacOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
9-1. Ejemplo de reporte de Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
10-1. Pantalla principal de Herramientas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
10-2. Pantalla de restauración de ejemplo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132
10-3. Aplicar la configuración del archivo restaurado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
12-1. Un ejemplo de ruteo dinámico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
12-2. El cableado NULL-módem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
12-3. Cableado Ethernet 10base2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
vii
viii
Prefacio
1. Nota legal
Este manual (excepto los capítulos que se listan en la tabla de abajo) está protegido bajo los derechos de la pro-
piedad intelectual de MandrakeSoft. Se otorga permiso para copiar, distribuir y/o modificar este documento
bajo los términos de la Licencia de Documentación Libre GNU, Versión 1.1 o cualquier versión posterior pu-
blicada por la Fundación de Software Libre (FSF); siendo las Secciones Invariantes Acerca de Mandrake Linux,
página i, con los Textos de Tapa listados debajo, y sin Textos de Contra-tapa. Se incluye una copia de la licencia
en la sección Licencia de documentación libre GNU, de Aplicaciones de todos los días, junto con una traducción al
castellano.
Textos de Tapa:
MandrakeSoft Mayo 2002
http://www.mandrakesoft.com/
Copyright © 1999, 2000, 2001, 2002 por MandrakeSoft S.A. y MandrakeSoft Inc.
“Mandrake”, “Mandrake Linux” y “MandrakeSoft” son marcas registradas de MandrakeSoft S.A.; Linux es
una marca registrada de Linus Torvalds; UNIX es una marca registrada de The Open Group en los Estados
Unidos de América y otros países. Todas las otras marcas registradas y copyrights son la propiedad de sus
dueños respectivos.
i
Prefacio
del servicio recibido. Este sitio ofrece una experiencia nueva basada en la confianza y el placer de premiar a
otros por sus contribuciones.
Además de esa plataforma, MandrakeCampus (http://www.mandrakecampus.com/) proporciona a la comu-
nidad GNU/Linux cursos abiertos de entrenamiento y educación sobre todas las tecnologías y temas relacio-
nados con la filosofía del código abierto. También brinda a los maestros, tutores, y alumnos un lugar donde
pueden intercambiar sus conocimientos.
Hay un sitio para el “mandrakeólico” denominado Mandrake Forum (http://www.mandrakeforum.com/):
sitio primario para los consejos, trucos, rumores, pre-anuncios, noticias semi-oficiales, y más, relacionados con
Mandrake Linux. Además, este es el único sitio web interactivo que mantiene MandrakeSoft, por lo tanto, si
tiene algo que decirnos, o algo que quiera compartir con otros usuarios, no busque más: ¡este es un lugar para
hacerlo!
En la filosofía del código abierto, MandrakeSoft está ofreciendo varias formas de soporte (http://www.
mandrakelinux.com/es/ffreesup.php3) para las distribuciones Mandrake Linux. En particular, está invi-
tado a participar en las distintas Listas de correo (http://www.mandrakelinux.com/es/flists.php3), donde
toda la comunidad de Mandrake Linux demuestra su vivacidad y bondad.
Finalmente, no olvide de conectarse a MandrakeSecure (http://www.mandrakesecure.net/). Este sitio reúne
todo el material relacionado con la seguridad sobre las distribuciones Mandrake Linux. Allí encontrará avisos
de seguridad y errores, así como también artículos relacionados con la seguridad y la privacidad. Un sitio
obligatorio para cualquier administrador de servidores o usuario al que le concierne la seguridad.
• Empaquetado: un sistema GNU/Linux está compuesto principalmente por programas recogidos de la Inter-
net. Estos programas tienen que empaquetarse de forma tal que puedan funcionar juntos.
• Programación: hay muchísimos proyectos que MandrakeSoft soporta directamente: encuentre el que más
le atraiga, y proponga su ayuda al desarrollador principal.
• Internacionalización: la traducción de las páginas web, los programas,y la documentación respectiva de los
mismos.
• Documentación: por último pero no por menos, el libro que Usted está leyendo en este momento necesita
de mucho esfuerzo para mantenerse actualizado con la evolución rápida del sistema.
Consulte la página de contribuyentes (http://www.mandrakesoft.com/labs/) para saber más acerca de la
forma en la que Usted puede ayudar a la evolución de Mandrake Linux.
El 3 de agosto de 2001, luego de haberse establecido como uno de los líderes mundiales en Código Abierto
y software GNU/Linux , MandrakeSoft se convirtió en la primer compañía de Linux listada en un mercado
de acciones Europeo. Si ya es un accionista de MandrakeSoft o desea convertirse en uno, nuestras páginas
para los inversores (http://www.mandrakesoft.com/company/investors) le brindan la mejor información
financiera relacionada con la compañía.
ii
Prefacio
4. Autores y traductores
Las personas siguientes contribuyeron a la realización de los manuales de Mandrake Linux:
• Camille Bégnis
• Fabian Mandelbaum
• Roberta Michel
• Rodrigo Pedrosa
• Jöel Pomerleau
• Christian Roy
• Las personas que escribieron el material importado que se lista en Tabla 1.
También participaron, en mayor o menor grado, las personas siguientes: Amaury Amblard-Ladurantie, Florin
Grad y Philippe Libat .
iii
Prefacio
Ejemplo Significado
formateado
i-nodo Este formateo se usa para enfatizar un término técnico.
ls -lta Indica comandos, o argumentos a dichos comandos. Este formateo se aplica a los
comandos, las opciones y los nombres de archivos. Vea también la sección sobre
“Sinopsis de comandos, página v”.
ls(1) Referencia a una página Man. Para obtener la página en un shell (o línea de
comandos), simplemente ingrese man 1 ls.
$ ls *.pid El equipo de documentación utiliza este formateado para instantáneas de los textos
imwheel.pid que $Usted puede ver en su pantalla. Esto incluye a las interacciones con la
computadora, los listados de programa, etc.
localhost Esto es algún dato literal que por lo general no encaja en alguna de las categorías
definidas previamente. Por ejemplo, una palabra clave tomada de un archivo de
configuración.
Apache Esto se usa para los nombres de las aplicaciones. Por ejemplo, no se usa en el nombre
de un comando sino en contextos particulares donde el nombre del comando y de la
aplicación pueden ser el mismo pero se formatean de maneras diferentes.
Configurar Esto se usa para las entradas de menú o las etiquetas de las interfaces gráficas en
general. La letra subrayada indica la tecla del atajo si es aplicable.
iv
Prefacio
Ejemplo Significado
formateado
Bus-SCSI denota una parte de una computadora o una computadora en sí misma.
Le petit chaperon Indica que estas palabras que pertenecen a una lengua extranjera.
rouge
¡Atención! Por supuesto, esto se reserva para las advertencias especiales con el fin de enfatizar la
importancia de las palabras; léalo en voz alta :-)
Tenga sumo cuidado cuando vea este icono. Siempre significa que se
tratará con información sumamente importante acerca de un tema
en particular.
Estas convenciones son típicas y las encontrará en otros lugares, por ejemplo las páginas Man.
Los signos “<” (menor que) y “>” (mayor que) denotan un argumento obligatorio que no debe ser copiado
textualmente, sino que debe reemplazarse de acuerdo con sus necesidades. Por ejemplo, <archivo> se refiere
al nombre real de un archivo. Si dicho nombre es pepe.txt,Usted debería teclear pepe.txt, y no <pepe.txt>
o <archivo>.
Los corchetes “[ ]” denotan argumentos opcionales, los cuales puede o no incluir en el comando.
Los puntos suspensivos “...” significan que en ese lugar se puede incluir un número arbitrario de elementos.
Las llaves “{ }” contienen los argumentos permitidos en este lugar. Uno de ellos debe ser puesto aquí.
v
Prefacio
vi
Capı́tulo 1. Comenzando
En este capítulo introductorio, revisaremos todos los pasos de configuración previos necesarios antes de uti-
lizar los productos MandrakeSecurity . Ya sea si Usted desea utilizar MandrakeSecurity por medio de un
aparato o directamente desde una instalación Mandrake Linux, este capítulo es para Usted.
La lista cronológica que se presenta aquí debería guiarlo a través de todo el ciclo de vida de su cortafuegos.
Debe leerla con cuidado antes de hacer cosa alguna, y consultar las secciones del manual que se citan como se
le instruye.
1
Capítulo 1. Comenzando
Si ha elegido instalar MandrakeSecurity en una PC estándar, aquí tiene algunas guías bastante aproximadas
con respecto al hardware necesario para dos configuraciones diferentes. Luego haremos una revisión rápida
del proceso de instalación.
Configuración Red local limitada sin DMZ y tráfico Red local con una DMZ que aloja varios
limitado servicios de Internet públicos.
Procesador Pentium 166 Pentium III
RAM 64MB 128MB
Disco rígido 2GB 10GB
Interfaces de red Ethernet (LAN) + Internet 2*Ethernet (LAN+DMZ) + Internet
Tabla 1-1. Requisitos de hardware
Por supuesto esos números son puramente indicativos y son altamente dependientes de la utilización efectiva
de la red. La configuración tendrá que actualizarse dependiendo de los servicios que realmente están activos
en el cortafuegos. Verifique regularmente la carga del sistema: (Monitoreando el cortafuegos, página 117) de
forma tal de poder actuar antes que su servidor se sature.
2
Capı́tulo 2. Instalación con DrakX
Cuando comienza la instalación, la primer pantalla que aparece presenta algo de información y le brinda
opciones de instalación (Figura 2-1) Si no hace algo, simplemente comenzará la instalación en modo normal o
“linux”. Los párrafos siguientes presentarán algunas opciones y parámetros que puede pasar al programa de
instalación si Usted se encuentra en problemas.
Si presiona F1 se abrirá una pantalla de ayuda. Aquí tiene algunas opciones útiles de entre las cuales puede
elegir:
• vgalo (modo vga): si intentó una instalación normal y no pudo obtener la interfaz gráfica que se muestra
debajo en Eligiendo su idioma, página 4, puede intentar ejecutar la instalación en baja resolución. Esto ocurre
con ciertos tipos de tarjeta gráfica, por lo que MandrakeSecurity le brindará una cantidad de opciones para
solucionar problemas con hardware antiguo. Para intentar la instalación en el modo de baja resolución,
simplemente debe ingresar vgalo en el prompt que se le presenta aquí.
• text (modo texto): si su tarjeta de vídeo es realmente antigua, y la instalación gráfica no funciona en absolu-
to, siempre puede elegir usar la instalación en modo texto. Debido a que todas las tarjetas de vídeo pueden
mostrar texto, esta es la “instalación de último recurso”. Sin embargo, no debe preocuparse – no es muy
probable que necesite utilizar la instalación de modo texto.
3
Capítulo 2. Instalación con DrakX
• expert (modo experto): en algunos casos raros, su PC puede parecer que está congelada o trabada durante
la fase de detección del hardware. Si ocurre esto, entonces añada la palabra expert como parámetro para
decirle al programa de instalación que obvie la detección de hardware. Debido a que DrakX no buscará
el hardware, Usted tendrá que proporcionar los parámetros del hardware de forma manual más adelante
en la instalación. El parámetro expert se puede añadir a los modos previos, por lo que puede terminar
especificando
boot: vgalo expert
para realizar una instalación gráfica de baja resolución sin que DrakX realice una búsqueda de hardware.
• opciones del núcleo: por lo general, las opciones del núcleo no son necesarias para la mayoría de las máqui-
nas. Hay unos pocos casos de placas principales que reportan de manera incorrecta la cantidad de memoria
instalada debido a errores en el diseño del BIOS. Si necesita especificar manualmente la cantidad de memo-
ria DRAM instalada en su PC, utilice el parámetro mem= xxxM. Por ejemplo, para comenzar la instalación en
modo normal con una computadora que tiene 256 MB de memoria, su línea de comandos debería parecerse
a esto:
boot: linux mem=256M
Ahora que hemos pasado por lo que podría fallar, avancemos al proceso de instalación propiamente dicho.
Cuando ingresa a la instalación propiamente dicha obtiene una bonita interfaz gráfica (Figura 2-2) Sobre la
izquierda puede ver las diferentes fases de instalación. Dependiendo del nivel de progreso de la instalación,
algunas fases estarán o no disponibles. Si lo están, se resaltarán cuando apoye el cursor del ratón sobre las
mismas.
Los colores de los botones sobre la izquierda de la pantalla le permiten ver rápidamente qué está pasando con
la instalación:
4
Capítulo 2. Instalación con DrakX
5
Capítulo 2. Instalación con DrakX
Antes de continuar, debería leer cuidadosamente los términos de la licencia. La misma cubre a toda la dis-
tribución MandrakeSecurity , y si Usted no está de acuerdo con todos los términos en ella, haga clic sobre el
botón Rechazar. Esto terminará la instalación de inmediato. Para continuar con la instalación, haga clic sobre
el botón Aceptar.
6
Capítulo 2. Instalación con DrakX
DrakX primero detectará cualquier dispositivo IDE presente en su computadora. También buscará una o más
tarjetas SCSI PCI en su sistema. Si se encuentra una tarjeta SCSI, DrakX instalará el controlador apropiado
automáticamente.
Debido a que la detección de hardware a veces no detectará alguna pieza de hardware, DrakX le pedirá que
confirme si tiene una tarjeta SCSI PCI. Si hace clic sobre Sí se le presentará una lista de tarjetas SCSI de la cual
elegir. Haga clic sobre No si sabe que no tiene hardware SCSI en su máquina. Si no está seguro puede verificar
la lista de hardware detectado en su máquina seleccionando Ver información sobre el hardware y haciendo clic
sobre Aceptar. Examine la lista de hardware y luego haga clic sobre el botón Aceptar para volver a la pregunta
sobre la interfaz SCSI.
Si tuvo que seleccionar su adaptador manualmente, DrakX le preguntará si desea especificar opciones para
el mismo. Debería permitir que DrakX sondee el hardware buscando las opciones específicas que necesita la
tarjeta para inicializarse adecuadamente. La mayoría de las veces, DrakX pasará esta fase sin problema alguno.
Si DrakX no puede sondear las opciones para determinar automáticamente qué parámetros deben pasarse,
Usted necesitará configurar manualmente el controlador.
7
Capítulo 2. Instalación con DrakX
Por lo general, DrakX no tienen problemas en detectar la cantidad de botones que tiene su ratón. Si no, asume
que Usted tiene un ratón de dos botones y lo configurará para que emule el tercer botón. El tercer botón
del ratón en un ratón de dos botones puede “presionarse” haciendo clic simultáneamente sobre los botones
izquierdo y derecho del ratón. DrakX sabrá automáticamente si su ratón tiene una interfaz PS/2, serie o USB.
Si por alguna razón desea especificar un tipo de ratón diferente, seleccione el tipo apropiado de la lista que se
proporciona.
Si elige un ratón distinto al predeterminado, se le presentará una pantalla de prueba. Use los botones y la
rueda para verificar que la configuración es correcta y el ratón funciona adecuadamente. Si el ratón no está
funcionando correctamente, presione la barra espaciadora o Intro para Cancelar la prueba y volver a la lista
de opciones.
8
Capítulo 2. Instalación con DrakX
Dependiendo del idioma predeterminado que Usted eligió en Eligiendo su idioma, página 4, DrakX seleccionará
automáticamente un tipo particular de configuración del teclado. Sin embargo, podría no tener un teclado que
se corresponde exactamente con su idioma: por ejemplo, si Usted es un argentino que habla inglés, todavía
podría desear que su teclado sea un teclado Latinoamericano. O si habla castellano pero está en Inglaterra
puede estar en la misma situación en la que el idioma y su teclado no concuerdan. En ambos casos, este paso
de instalación le permitirá seleccionar un teclado apropiado de una lista.
Haga clic sobre el botón Más para que se le presente la lista completa de los teclados soportados.
9
Capítulo 2. Instalación con DrakX
Ahora necesita elegir el lugar de su disco rígido donde se instalará su sistema operativo MandrakeSecurity .
Si su disco rígido está vacío o si un sistema operativo existente está utilizando todo el espacio disponible,
necesitará particionar el disco. Básicamente, particionar un disco rígido consiste en dividirlo lógicamente para
crear espacio para instalar su sistema MandrakeSecurity nuevo.
Debido a que los efectos del particionado por lo general son irreversibles y pueden llevar a la pérdida de datos
si ya hay un sistema operativo instalado en el disco, el particionado puede resultar intimidante y estresante si
Usted es un usuario inexperto. Por fortuna, DrakX incluye un asistente que simplifica este proceso. Antes de
continuar con este paso, por favor lea el resto de esta sección y, por sobre todo, tómese su tiempo.
Si su disco rígido ya ha sido particionado, bien en una instalación previa de GNU/Linux o por medio de otra
herramienta de particionado, seleccione las particiones apropiadas en las que desea instalar su sistema Linux.
Si no se han configurado particiones, deberá crearlas utilizando el asistente. Dependiendo de la configuración
de su disco rígido, están disponibles varias opciones:
• Usar espacio libre: esta opción simplemente llevará a un particionado automático de su(s) disco(s) vacío(s).
No se le pedirán más detalles ni se le formularán más preguntas.
• Usar la partición existente: el asistente ha detectado una o más particiones Linux existentes en su disco
rígido. Si desea utilizarlas, elija esta opción. Si lo hace se le pedirá que elija los puntos de montaje asociados
a cada una de las particiones. Los puntos de montaje legados se seleccionan automáticamente, y por lo
general es una buena idea mantenerlos.
• Usar el espacio libre en la partición Windows: si Microsoft® Windows © está instalado en su disco rígido y
ocupa todo el espacio disponible en el mismo, Usted tiene que liberar espacio para los datos de Linux. Para
hacerlo, puede borrar su partición y datos Microsoft Windows (vea las soluciones “Borrar el disco entero”
o “Particionamiento de disco personalizado”) o cambiar el tamaño de su partición Windows FAT. El cambio
de tamaño se puede realizar sin la pérdida de datos, siempre y cuando Usted ha desfragmentado con
anterioridad la partición Windows y la misma utiliza el formato FAT. También se recomienda hacer una
copia de respaldo de sus datos. Se recomienda esta solución si desea utilizar tanto MandrakeSecurity como
Microsoft Windows en la misma computadora.
10
Capítulo 2. Instalación con DrakX
Antes de elegir esta opción, por favor comprenda que después de este procedimiento, el tamaño de su
partición Microsoft Windows será más pequeño que ahora. Tendrá menos espacio bajo Microsoft Windows
para almacenar sus datos o instalar software nuevo.
• Borrar el disco entero: si desea borrar todos los datos y todas las particiones presentes en su disco rígido y
reemplazarlas con su nuevo sistema MandrakeSecurity , elija esta opción. Tenga cuidado con esta solución
ya que no podrá revertir su elección después de confirmarla.
• Quitar Windows: simplemente esto borrará todo en el disco y comenzará particionando todo desde cero. Se
perderán todos los datos en su disco.
• Particionamiento de disco personalizado: elija esta opción si desea particionar manualmente su disco rígido.
Tenga cuidado –– esta es una elección potente pero peligrosa y puede perder todos sus datos con facilidad.
Es por esto que esta opción realmente sólo se recomienda si Usted ya ha hecho algo así antes y tiene algo de
experiencia. Para más instrucciones sobre cómo usar el utilitario DiskDrake , consulte la documentación en
línea para DiskDrake (http://www.linux-mandrake.com/en/doc/82/en/user.html/diskdrake.html).
11
Capítulo 2. Instalación con DrakX
Se debe formatear cualquier partición nueva que ha sido definida para que se pueda utilizar (formatear signi-
fica crear un sistema de archivos)
Puede desear volver a formatear algunas particiones ya existentes para borrar cualquier dato que pudieran
contener. Si así lo desea, por favor seleccione también dichas particiones.
Por favor note que no es necesario volver a formatear todas las particiones preexistentes. Debe volver a
formatear las particiones que contienen el sistema operativo (tales como /, /usr o /var) pero no tiene que
volver a formatear particiones que contienen datos que desea preservar (típicamente /home)
Por favor, tenga sumo cuidado cuando selecciona las particiones. Después de formatear, se borrarán todos los
datos en las particiones seleccionadas y no podrá recuperarlos en absoluto.
Haga clic sobre Aceptar cuando esté listo para formatear las particiones.
Haga clic sobre Cancelar si desea elegir otra partición para la instalación de su sistema operativo Mandrake-
Security nuevo.
Haga clic sobre Avanzada si desea seleccionar las particiones en las que se buscarán bloques defectuosos en el
disco.
Este es el punto de decisión crucial para la seguridad de su sistema GNU/Linux : tendrá que ingresar la contra-
seña de root. root es el administrador del sistema y es el único autorizado a hacer actualizaciones, agregar
usuarios, cambiar la configuración general del sistema, etc. Resumiendo, ¡root puede hacer de todo! Es por
esto que deberá elegir una contraseña que sea difícil de adivinar – DrakX le dirá si la que eligió es demasiado
fácil. Como puede ver, puede optar por no ingresar una contraseña, pero le recomendamos encarecidamente
12
Capítulo 2. Instalación con DrakX
que ingrese una. GNU/Linux es tan sensible a los errores del operador como cualquier otro sistema operati-
vo. Debido a que root puede sobrepasar todas las limitaciones y borrar, sin intención, todos los datos que se
encuentran en las particiones accediendo a las mismas sin el cuidado suficiente, es importante que sea difícil
convertirse en root.
Algo a tener en cuenta –– no haga la contraseña demasiado larga o complicada ¡ya que Usted debe poder
recordarla!
La contraseña no se mostrará en la pantalla a medida que Usted la teclee. Por lo tanto, tendrá que teclear la
contraseña dos veces para reducir la posibilidad de un error de tecleo. Si ocurre que Usted comete dos veces
el mismo error de tecleo, tendrá que utilizar esta contraseña “incorrecta” la primera vez que se conecte.
Ya se han agregado todos los usuarios necesarios por lo que no debería necesitar agregar más usuarios para
la operación normal de MandrakeSecurity . Sin embargo, si planea utilizar la característica de autenticación
PAM de squid , aquí puede añadir los usuarios que estarán autorizados.
El primer campo le pide su nombre real. Esto no es obligatorio, por supuesto – ya que, en realidad, puede
ingresar lo que desee. DrakX tomará entonces la primer palabra que ingresó y la copiará al campo Nombre de
13
Capítulo 2. Instalación con DrakX
usuario. Este es el nombre que este usuario en particular utilizará para ingresar al sistema. Si lo desea, puede
obviar lo predeterminado y cambiar el nombre de usuario. Luego tendrá que ingresar aquí una contraseña. La
contraseña de un usuario no privilegiado (regular) no es crucial como la de root desde el punto de vista de
la seguridad, pero esto no es razón alguna para obviarla: después de todo, son sus archivos los que podrían
estar en riesgo.
Luego puede elegir hacer que es usuario sea miembro de uno o más grupos especiales que le darán privilegios
especiales. Marque las casillas de los privilegios que desea brindar a dicho usuario.
Una vez que hace clic sobre Aceptar el usuario, puede añadir usuarios adicionales. Seleccione Hecho cuando
haya finalizado de añadir usuarios.
Ahora configurará la conexión a su red local (LAN) MandrakeSecurity intentará detectar automáticamente
los dispositivos de red y módem. Si esta detección falla, quite la marca de la casilla Usar detección automática.
No detallaremos cada opción de configuración – sólo debe asegurarse que tiene todos los parámetros como:
dirección IP, pasarela predeterminada, servidores DNS, etc. que le brindó su Proveedor de Servicios de Internet
o el administrador de su sistema.
14
Capítulo 2. Instalación con DrakX
Más tarde, podrá configurar todas sus otras interfaces de red (Internet, DMZ, etc.) por medio de la interfaz
MandrakeSecurity .
Debe indicar donde desea colocar el cargador de arranque necesario para arrancar en GNU/Linux .
A menos que sepa exactamente lo que está haciendo, elija Primer sector del disco (MBR).
Luego se le presentam las diferentes entradas de arranque que se propondrán al momento de arrancar el
sistema. Aquí las puede modificar.
15
Capítulo 2. Instalación con DrakX
El CD-ROM de MandrakeSecurity tiene un modo de rescate incorporado. Usted puede acceder al mismo
presionando la tecla F1 durante el arranque y tecleando rescue en el prompt. Si su computadora no pue-
de arrancar desde el CD-ROM, hay al menos dos situaciones en las que resulta crítico tener un disquete de
arranque:
• cuando instala el cargador de arranque, DrakX sobreescribirá el sector de arranque ( MBR) de su disco
principal (a menos que esté utilizando otro administrador de arranque) de forma tal que pueda iniciar o
bien Windows o bien GNU/Linux (asumiendo que tiene Windows en su sistema) Si necesita volver a instalar
Windows , el proceso de instalación de Microsoft sobreescribirá el sector de arranque, y entonces ¡Usted no
podrá iniciar GNU/Linux !
• si surge un problema y Usted no puede iniciar GNU/Linux desde el disco rígido, este disquete será la única
manera de iniciar GNU/Linux . El mismo contiene una buena cantidad de herramientas del sistema para
restaurar un sistema que colapsó debido a una falla de energía, un error de tecleo infortunado, un error u
olvido de una contraseña, o cualquier otro motivo.
Si responde Sí, se le pedirá que inserte un disquete dentro de la disquetera. Dicho disquete debe estar vacío o
contener datos que no necesite – DrakX formateará el disquete y lo sobre-escribirá por completo.
16
Capítulo 2. Instalación con DrakX
Es probable que cuando instale MandrakeSecurity algunos paquetes se hayan actualizado desde la publica-
ción inicial. Se pueden haber corregido algunos errores, y solucionado problemas de seguridad. Para permitir
que Usted se beneficie de estas actualizaciones, ahora se le propone transferirlas desde la Internet. Elija Sí si
tiene funcionando una conexión con la Internet, o No si prefiere instalar los paquetes actualizados más tarde.
Si responde Sí se muestra una lista de lugares desde los que se pueden obtener las actualizaciones. Elija el más
cercano a Usted. Luego aparece un árbol de selección de paquetes: revise la selección y presione Instalar para
transferir e instalar los paquetes seleccionados, o Cancelar para abortar.
17
Capítulo 2. Instalación con DrakX
Ya está. Ahora la instalación está completa y su sistema GNU/Linux está listo para ser utilizado. Escriba con
cuidado la URL que se le da en ese diálogo, es la dirección que Usted tendrá que utilizar en su navegador web
para acceder a la interfaz web de MandrakeSecurity con la cuenta admin. Ahora, simplemente haga clic sobre
Aceptar dos veces para volver a arrancar el sistema.
1. Borrar todas las particiones en su disco rígido y reemplazarlas por una única partición FAT por medio de
DiskDrake .
2. Desinstalar el cargador de arranque del Sector de Arranque Maestro (MBR) Para hacer esto, arranque
bajo DOS y ejecute el comando fdisk /mbr.
Si tiene otro sistema operativo, por favor consulte la documentación del mismo para determinar como
realizar la misma operación.
18
Presentando la interfaz MandrakeSecurity
Los capítulos siguientes están dedicados a la utilización de la herramienta de administración web de Mandra-
keSecurity , que le permite controlar de manera remota a su cortafuegos desde cualquiera de las máquinas en
su LAN. El primero, Configuración básica de MandrakeSecurity, página 21, lo guiará por la configuración básica
de su cortafuegos. Podrá crear cuentas, detectar y añadir tarjetas de red (NICs), configurar un servidor de
registro del sistema, así como también configurar su hora local y configurar un servidor NTP (Network Time
Protocol, Protocolo de la Hora de Red)
Luego viene Configurando el acceso a la Internet, página 33, que lo guiará para que pueda configurar la conexión
de su servidor con la Internet. El tercero, Servicios: DHCP, Proxy, DNS, y más, página 51, le permitirá configurar
servicios como DHCP, DNS y ajustes del proxy web. También podrá activar un IDS (Intrusion Detection System,
Sistema de Detección de Intrusiones) como Prelude y Snort , así como también bloquear ciertos dominios o
URL que no desea que visiten sus usuarios.
Configurando el comportamiento propiamente dicho del cortafuegos, página 69 cubre todas las pantallas que se in-
cluyen en la sección Reglas del Cortafuegos de MandrakeSecurity . En esta sección de la interfaz web, también
podrá permitir/negar el tráfico entre las zonas.
Finalmente, nos concentraremos en el monitoreo del sistema (esencial para garantizar una operación sin so-
bresaltos de su sistema cortafuegos) en Monitoreando el cortafuegos, página 117 y en las herramientas para
mantener su sistema en Herramientas de administración, página 129.
¡Esperamos que disfrute de MandrakeSecurity !
20
Capı́tulo 3. Configuración básica de MandrakeSecurity
3.1. Introducción
En este capítulo presentaremos brevemente la interfaz y cómo navegar por la misma. Esta se compone básica-
mente de un menú que lleva a asistentes de configuración.
3.1.1. Conectando
La conexión al servidor cortafuegos desde cualquier cliente se realiza por medio de cualquier navegador
web gráfico moderno. La comunicación está cifrada por completo, de forma tal que nadie puede espiar la
información que se transmite, en especial las contraseñas.
Para iniciar la sesión, ingrese en el campo de ubicación de su navegador la URL que se le dió en la última
pantalla del proceso de instalación. Debería ser una dirección parecida a la siguiente:
https://192.168.1.160:8443/
donde 192.168.1.160 es la dirección IP del cortafuegos que Usted eligió en su red LAN.
Luego obtendrá algunas pantallas sobre un certificado, acéptelas. Finalmente aparece la pantalla de bienveni-
da de MandrakeSecurity (Figura 3-1)
Complete con el login y contraseña de admin como se definieron durante la instalación. Siempre que se le pida
identificarse para conectarse a la interfaz, utilice la cuenta admin. La primera vez que se conecte debe cambiar
la contraseña, consulte Cambiando la contraseña del administrador, página 28.
21
Capítulo 3. Configuración básica de MandrakeSecurity
3.1.2. La interfaz
La interfaz está diseñada de manera tradicional con un menú de dos niveles sobre la izquierda y un marco
de contenido sobre la derecha. Este último contendrá los pasos diferentes de cada asistente correspondiente
al segundo nivel de las entradas del menú seleccionado. Más adelante, denominaremos “sección” al tema
cubierto por una entrada del menú de primer nivel, y “sub-sección” para las entradas de menú de segundo
nivel.
Cada página del asistente se compone de:
El botón Ayuda. Muestra una ventana emergente con ayuda sobre esa pantalla en
particular, que le informa el significado de los distintos elementos presentes en la misma.
El botón Cancelar. Descarta todos los cambios realizados desde el comienzo del asistente
y regresa a la página principal de MandrakeSecurity .
El botón Anterior. Vuelve al paso anterior del asistente.
El botón Siguiente. Avanza al paso siguiente del asistente. Note que las elecciones
realizadas en una página no se validan hasta que se presione el botón Aplicar.
El botón Aplicar. Cuando Usted llega a la última pantalla de un asistente, este botón le
permite confirmar las elecciones y las aplica al sistema. No debe olvidarse de utilizarlo
cuando haya finalizado un asistente o ¡perderá todos sus cambios!
3.1.3. Desconexión
Es muy importante desconectarse de manera explícita de la interfaz cuando haya terminado con todas sus
22
Capítulo 3. Configuración básica de MandrakeSecurity
tareas, o siempre que se aleje de su escritorio por un cierto tiempo. En realidad, el simple hecho de cerrar el
navegador generalmente no es suficiente ya que el servidor no tiene forma de saber eso, y alguien que utilice
su computadora justo después que Usted podría tomar su sesión donde Usted la dejó.
Siempre que termine con una sesión, simplemente debe hacer clic sobre ese icono. La próxima vez que intente
volver a conectarse se le volverá a pedir que se identifique.
Esta sección es para la configuración básica del servidor. También permite que el administrador cambie su
contraseña para acceder a la interfaz.
La información que se muestra aquí es muy general y sin embargo, esencial. Su sistema debe estar asociado con
un nombre así como también con un nombre de dominio. Los campos Sistema y Tiempo que lleva encendido
le dan información básica acerca de su sistema.
Se atribuirá un nombre al sistema. Luego, dicho nombre se asignará a una red local. En este punto, los pará-
metros a ingresar dependen de si Usted tiene o no un acceso permanente a la Internet con una dirección IP
fija.
Este campo contiene el nombre completo de host de su máquina: el nombre de la máquina seguido del nombre
de dominio, por ejemplo: cortafuegos.empresa.net.
Este campo contiene el nombre de dominio de la máquina. Si Usted posee un nombre de dominio y tiene los
23
Capítulo 3. Configuración básica de MandrakeSecurity
DNS necesarios apuntando a su dirección IP, utilícelo aquí. En caso contrario, use el nombre de dominio de su
proveedor de servicios de Internet (ISP).
En este campo se lista, en orden: 1) el tipo de sistema operativo, 2) el nombre completo de la máquina, 3) la
versión del núcleo, 4) la fecha en la que fue instalado, y 5) el tipo de procesador.
Tiempo que lleva encendido 4:33pm up 1 day, 23:26, 7 users, load average: 0.00, 0.00, 0.00
En este campo se lista, en orden: 1) la hora local, 2) el tiempo que lleva encendido (en días, minutos y segun-
dos), 3) la cantidad de usuarios conectados, 4) y el promedio de carga en los últimos 1, 5, y 15 minutos.
Haga clic sobre esta casilla si desea cambiar el nombre del sistema y/o el nombre de dominio.
Cuando haya finalizado, haga clic sobre el botón Siguiente, luego sobre el botón Aplicar. Luego se lo traerá
de vuelta a la página del grupo de propiedades del sistema, que muestra el nombre del sistema, el nombre de
dominio, la información del sistema y los datos de tiempo que lleva encendido ("uptime") el sistema.
24
Capítulo 3. Configuración básica de MandrakeSecurity
Esta pantalla lista las tarjetas interfaz de red (NIC) configuradas actualmente en su máquina. Le permitirá
seleccionar una tarjeta en particular y volver a configurarla, o añadir otra tarjeta.
• para volver a configurarla, haga clic sobre el icono de texto a la izquierda del cesto de residuos. También
se le permitirá seleccionar si desea (o no) activarla al arranque en la Página de configuración de la interfaz
Ethernet;
• para permitir que la red asociada a esta interfaz se conecte a la interfaz web, haga clic sobre Admin (vea
"Interfaz de administración" más abajo);
• para quitarla, haga clic sobre el cesto de residuos.
Luego viene la Interfaz de administración, que indica la interfaz a través de la cual se permiten las conexio-
nes administrativas. Esto significa que su cortafuegos tendrá que ser administrado desde una computadora
conectada a la sub-red que está asociada con la tarjeta mencionada antes. Desde la misma puede tomar dos
acciones:
• - Detectar las NICs corrientes: al hacer clic sobre ese icono se lanzará un proceso de detección
automática de las NICs. Debe usarlo si instaló con anterioridad una NIC nueva en su computadora. No-
ta: luego que haga clic, puede tomar algo de tiempo para que aparezca la pantalla siguiente mientras la
computadora está detectando las tarjetas nuevas.
• - Añadir manualmente una NIC: si la acción anterior fallase, puede configurar manualmente su
tarjeta haciendo un clic sobre ese icono.
25
Capítulo 3. Configuración básica de MandrakeSecurity
Esta pantalla muestra la NIC (o NICs) que recién han sido detectadas automáticamente en su máquina. Si la
tarjeta que desea configurar no aparece aquí, regrese a la página anterior y haga clic sobre el botón Añadir una
NIC manualmente.
Cada línea corresponde a una NIC física en su computadora. Para seleccionarla y configurarla como su interfaz
de acceso a la red local, haga clic sobre el icono Editar (junto a la columna Protocolo y a la izquierda del cesto
de residuos) y complete los campos en blanco.
26
Capítulo 3. Configuración básica de MandrakeSecurity
En esta sección debe definir los parámetros de la tarjeta interfaz necesarios para satisfacer las necesidades
de su(s) red(es) local(es). Puede ser que algunos ya se hayan elegido durante la instalación o una configura-
ción previa y/o completados con valores estándar. Realice las modificaciones necesarias para satisfacer sus
necesidades actuales.
Debe elegir en qué tipo de red estará trabajando. Aquí tiene sus opciones:
• lan, o sistemas en su(s) red(es) local(es). Estos sistemas deben protegerse de la Internet y de la DMZ y, en
algunos casos, de los pares. Elija esta zona para definir su red local;
• dmz, que significa Zona DesMilitarizada. Elija esta zona si debe poder acceder a sus sistemas desde la
Internet y desde la red local;
• wan - red de área extensa. Puede ser pública o privada y asegura la interconexión entre redes de compu-
tadoras fuera de su LAN (la Internet). Seleccione este tipo de zona para conectarse directamente al mundo
externo.
Dirección IP 192.168.1.1
Complete este campo si tiene una dirección IP estática para esa interfaz. Esta es la dirección de su servidor: es
esencial ya que los sistemas cliente se referirán a la misma.
En este campo, ingrese el nombre de la máscara de sub-red relacionada a la red donde está conectada esta
interfaz.
Ahora, configure el protocolo de arranque a utilizar cuando se inicializa esta interfaz. Esto depende del proto-
colo que utiliza su ISP. Seleccione la casilla adecuada, es decir, una de las siguientes:
Este campo le permite elegir el tipo de cliente DHCP que será utilizado en su red. Puede seleccionar uno de
los siguientes:
• dhcpcd - demonio cliente que obtiene una dirección IP y otra información de un servidor DHCP, configu-
ra automáticamente la interfaz de red, e intenta renovar el período de "leasing" de acuerdo a RFC2131 o
RFC1541 (que se considera obsoleto);
• pump - demonio cliente para BOOTP y DHCP. Permite a su máquina recuperar la información de configu-
ración de un servidor.
• dhclient - con este, puede configurar una o más interfaces de red que utilicen el protocolo DHCP o BOOTP;
• dhcpxd - el objetivo principal del mismo es cumplir con la especificación DHCP definida en RFC2131. So-
porta un proceso por sesión y también puede manejar sesiones del tipo todas-en-un-proceso. Una de sus
características más avanzadas reside en los scripts que se ejecutan cuando se necesitan, para poder ajustar
todo lo necesario para configurar las interfaces.
27
Capítulo 3. Configuración básica de MandrakeSecurity
Finalmente, puede elegir completar el campo de nombre de host DHCP (opcional) con el valor apropiado.
Este formulario le permitirá modificar la contraseña de la cuenta del administrador (admin). Es recomendable
que la cambie periódicamente.
Debe elegir una contraseña segura. Intente seleccionar alguna que incluya letras mayúsculas y minúsculas y
caracteres especiales, como por ejemplo el signo de interrogación (?). Cuando haya finalizado, haga clic sobre
el botón Cambiar
Los registros son una parte esencial de un sistema crítico con respecto a la seguridad como un cortafuegos.
El registro no solo le brinda información en tiempo real de lo que está sucediendo en el sistema, sino que
también lleva la pista de la historia de los sucesos en el mismo, es decir: cuando algo va mal en el sistema -
una colgadura o una intrusión - encontrará por qué ocurrió y generalmente determinará una solución.
28
Capítulo 3. Configuración básica de MandrakeSecurity
Antes que nada, puede elegir activar (o no) el sistema de registro en la máquina local (el cortafuegos en
sí mismo). Por supuesto, esto sólo será relevante si hay un monitor conectado directamente a la máquina
cortafuegos. Será posible controlar:
Servidor Syslog (ej.: 10.1.1.10) Puede elegir ingresar el nombre del servidor Syslog (ej.:
syslog.empresa.com) o la dirección IP. Si no conoce la dirección IP,
puede utilizar el comando ifconfig como root, o /sbin/ifconfig como
un usuario no privilegiado.
Luego ingrese la dirección de su servidor Syslog. Esta es una manera de asegurar mejor sus registros, evitando
almacenarlos directamente en su servidor y haciéndolo en una máquina distinta.
Este parámetro controla la cantidad de información que se mostrará, de acuerdo al nivel que elija:
• Info: muestra todos y cada uno de los mensajes del cortafuegos, desde los mensajes normales de operación
hasta los críticos.
• Notas: muestra los mensajes que, si bien no son problemáticos para el sistema, no son usuales.
• Advertencia: le informa que puede estar ocurriendo algo fuera de lo común y que debería comenzar a
pensar en tomar acción.
• Error: muestra los mensajes de error que pueden conducir a un mal funcionamiento del sistema.
• Críticos: muestra mensajes que indican que su sistema está en peligro serio.
• Alerta: le informa que debe tomar acción de inmediato.
• Pánicos: muestra sólo los mensajes críticos que por lo general llevan a la falla del sistema. En este punto, su
sistema no se podrá utilizar. A menos que sepa exactamente lo que está haciendo, es altamente recomenda-
ble no elegir este nivel.
Antes que nada, el asistente le sugerirá dos opciones para la configuración interna de la hora.
Haga clic sobre el icono "Modificar" relacionado con lo que Usted desea configurar:
• Fecha y hora: si no tiene un servidor NTP, haga clic sobre el botón "Modificar" para configurar manualmente
la hora y fecha actuales en la máquina.
29
Capítulo 3. Configuración básica de MandrakeSecurity
• Huso horario y dirección del servidor NTP: haga clic sobre el botón "Modificar" bajo el campo Dirección
del servidor NTP (opcional) para indicar la ubicación física del servidor y, eventualmente, configurar un
servidor de la hora, que ajustaría automáticamente la fecha y hora del sistema.
Debe elegir el huso horario de su ubicación geográfica e indicar la presencia eventual de un servidor NTP.
En la lista de husos horarios seleccione el huso horario y luego la ciudad más cercana a donde se encuentre el
cortafuegos.
Eventualmente, puede ingresar el nombre de un servidor NTP (Network Time Protocol - Protocolo de hora de
red) que ajusta y verifica automáticamente y periódicamente su el reloj del sistema. Si su compañía tiene su
propio servidor, utilice ese. De lo contrario, puede utilizar un servidor público de los que se listan en el sitio
30
Capítulo 3. Configuración básica de MandrakeSecurity
31
Capítulo 3. Configuración básica de MandrakeSecurity
32
Capı́tulo 4. Configurando el acceso a la Internet
Esta sección le permite configurar la(s) manera(s) en la(s) que su servidor accederá a la Internet. Le permite la
configuración de las interfaces con los protocolos soportados por su versión de MandrakeSecurity . También
puede definir todas las cuentas de su proveedor.
Esta página introductoria a los asistentes de configuración del acceso a la Internet resume la configuración
corriente de acceso a la Internet y permite al administrador subir o bajar la conexión manualmente. También
permite probar la conexión.
La primer parte resume todos los parámetros de acceso a la Internet para la configuración corriente: tipo,
interfaz, información de la cuenta, etc.
Luego viene el estado de acceso: o bien "Arriba" o "Abajo" e información adicional acerca de la conexión
corriente. Lo siguen tres botones:
• Iniciar: iniciar manualmente la conexión con la Internet con la configuración corriente como se muestra
arriba.
• Detener: Forzar la desconexión de la conexión con la Internet.
33
Capítulo 4. Configurando el acceso a la Internet
Este formulario contiene todos los parámetros necesarios para configurar una conexión con la Internet por
medio de un módem analógico estándar. Debe asegurarse que tiene todos los parámetros que le brindó su ISP.
Primero puede haber algunos recordatorios acerca de la configuración actual de la conexión con la Internet.
Complete este campo con cualquier nombre apropiado para la configuración de manera tal que Usted pueda
recordar la conexión para la cual dicho nombre es relevante.
Luego puede intentar detectar automáticamente el módem conectado a su máquina, haciendo clic sobre el
icono: (Detectar).
34
Capítulo 4. Configurando el acceso a la Internet
Esta lista contiene todos los módems detectados en los puertos de su máquina (En este ejemplo, el primer
puerto serie). Elija el que desea utilizar para esta conexión.
Si no se pudo detectar su módem, siempre puede seleccionar manualmente, en esta lista, el puerto al cual está
conectado.
En caso que su conexión necesite pasarle opciones especiales al demonio pppd, puede ponerlas aquí. En la
mayoría de los casos aquí no debería necesitar poner cosa alguna.
El número telefónico para conexiones con el proveedor de Internet. También ingrese los prefijos necesarios de
la conexión telefónica que esté utilizando.
Aquí ingrese con cuidado el nombre de conexión y contraseña que le proveyó su ISP.
Autenticación PAP
35
Capítulo 4. Configurando el acceso a la Internet
Esta página muestra todos los módems detectados en su máquina. Debe asegurarse que los módems están
alimentados y conectados correctamente antes de abrir esta página.
En el menú desplegable, simplemente elija el puerto al cual está conectado el módem en cuestión, y avance al
paso siguiente.
Este primer paso del asistente de configuración RDSI le brinda varias opciones:
• Detectar una tarjeta interna: si selecciona este icono aparecerá una lista de las tarjetas RDSI detectadas en su
máquina. Si tiene una tarjeta interna pruebe esto primero. De lo contrario, deberá:
• Seleccionar una tarjeta interna: si el paso anterior ha fallado, se mostrará una lista de las tarjetas RDSI
soportadas.
• Configurar un módem externo: seleccione este icono si tiene un módem externo y no una tarjeta RDSI
interna.
36
Capítulo 4. Configurando el acceso a la Internet
Simplemente seleccione la tarjeta que desea utilizar para su conexión con la Internet y avance al paso siguiente.
Si su tarjeta no está en la lista, haga clic sobre "Configurar manualmente una tarjeta interna".
Simplemente seleccione el nombre del modelo de su tarjeta en la lista de modelos sugeridos, y avance al paso
siguiente.
Si el modelo de su tarjeta no está en la lista, averigüe con qué modelo es compatible en la documentación que
se le proporcionó con la tarjeta.
37
Capítulo 4. Configurando el acceso a la Internet
Aquí se le presenta una amplia lista de los proveedores que existen alrededor del mundo. Si el suyo no está
presente, necesitará configurarlo manualmente.
Primero debe indicar qué protocolo utilizar, esto dependerá de su ubicación geográfica:
• Europa
• Resto del mundo
Luego, necesita configurar su proveedor de alguna de las maneras siguientes:
• Seleccione su proveedor: encuentre su proveedor en la lista, organizada por país, ciudad y finalmente nom-
bres de proveedores. Si el suyo está allí, ¡genial!, simplemente debe seleccionarlo y avanzar al paso siguiente.
• Edite manualmente la información de su proveedor: si el nombre de su proveedor no aparece en el listado
de arriba, seleccione ese icono.
38
Capítulo 4. Configurando el acceso a la Internet
Este formulario lista todos los parámetros necesarios para configurar una conexión con la Internet por RDSI.
Debe asegurarse que tiene todos los parámetros necesarios o debe pedirlos a su ISP.
Aquí, ingrese con cuidado el nombre de login y contraseña provistos por su ISP.
Aquí se necesita el número telefónico que Usted utiliza para conectarse a la Internet por medio de RDSI.
Una cadena de caracteres simple para identificar primero a su proveedor y luego al número telefónico que
Usted debe discar para conectarse al servicio RDSI de dicho proveedor.
39
Capítulo 4. Configurando el acceso a la Internet
• Automático: siempre que el servidor recibe un pedido de Internet compatible con las reglas de tráfico sa-
liente del cortafuegos, se realizará automáticamente la conexión.
• Manual: esta opción necesitará la intervención del administrador para conectar y desconectar manualmente
la conexión cuando sea necesario.
Si no se pudo detectar su tarjeta, deberá proporcionar esa información. De lo contrario, no realice cambios en
los campos.
Cuando se han completado, o dejado en blanco según sea necesario, todos los campos, avance al paso siguien-
te. Podrá revisar todos los parámetros y luego confirmar sus elecciones. Se configurará inmediatamente la
conexión.
40
Capítulo 4. Configurando el acceso a la Internet
Aquí, seleccione el protocolo específico que utiliza su proveedor de servicios de Internet (ISP).
Elija el protocolo apropiado haciendo clic sobre la casilla correspondiente. Si tiene dudas, debe consultar con
su ISP.
41
Capítulo 4. Configurando el acceso a la Internet
Esta es la primer pantalla del asistente que lo guiará a través del proceso de configurar una conexión DSL con
la Internet. Antes que nada, seleccione la tarjeta interfaz de red (NIC) para utilizar para este propósito.
En la lista de sugerencias, haga clic sobre el nombre de la interfaz que desea utilizar para la conexión Ca-
ble/LAN. Si su tarjeta específica parece no estar, intente detectarla haciendo clic sobre el botón "Detectar".
42
Capítulo 4. Configurando el acceso a la Internet
Aquí se definen los parámetros de la tarjeta interfaz necesarios para configurar los parámetros de su acce-
so xDSL. La mayoría de los parámetros ya habrán sido seleccionados o completados con valores estándar
automáticamente: simplemente debe verificar que se corresponden con sus necesidades.
Complete este campo si tiene una dirección IP estática para esa interfaz. Debe asegurarse que es la que Usted
tiene asignada.
Complete este campo con la máscara de sub-red a la que está conectada esta interfaz. Debe asegurarse que es
la que Usted tiene asignada.
Esta es la pasarela a través de la cual pasarán sus pedidos para la Internet. Este parámetro es crucial para que
su máquina cortafuegos pueda acceder a la Internet.
Finalmente, puede decidir si esta interfaz se activará o no cada vez que arranque la máquina.
43
Capítulo 4. Configurando el acceso a la Internet
Para que su proveedor lo autentique como un usuario, Usted necesita brindar información acerca de su cuenta.
Su ISP debería haberle proporcionado los parámetros necesarios.
Ingrese con cuidado el nombre de login y contraseña que le proporcionó su ISP. Por lo general, ambos distin-
guen entre mayúsculas y minúsculas.
La primer cadena de caracteres simple identifica a su proveedor y las siguientes a los Servidores de Nombres
de Dominio (DNS) de su ISP.
Una vez que estén completos todos los campos, avance al paso siguiente. Podrá revisar todos los parámetros
antes de confirmar sus elecciones. La conexión se configurará inmediatamente.
44
Capítulo 4. Configurando el acceso a la Internet
Esta pantalla aparece cuando Usted ha configurado previamente ese tipo de conexión con la Internet. La
misma resume la configuración corriente.
• Haga clic sobre el botón "Cambiar" si desea utilizar otra NIC para ese acceso a la Internet.
• Haga clic sobre el botón "Configurar" si desea volver a configurar la NIC seleccionada.
45
Capítulo 4. Configurando el acceso a la Internet
Esta pantalla es la primera del asistente que lo guiará a través del proceso de configuración de una conexión
a la Internet por medio de Cable/LAN. Básicamente, ambos tipos de conexión son idénticos. Esta es la razón
por la cual se tratan juntas. Primero, seleccione la tarjeta interfaz de red (NIC) a utilizar para este propósito.
En la lista de sugerencias, seleccione el nombre de la interfaz que desea utilizar para la conexión por Ca-
ble/LAN.
46
Capítulo 4. Configurando el acceso a la Internet
Aquí definirá los parámetros de la tarjeta interfaz necesarios para satisfacer las necesidades de su acceso
por Cable/LAN. La mayoría de los parámetros ya habrán sido seleccionados y los campos completados con
valores estándar. Comience por validar los valores.
Dirección IP 10.0.0.1
Complete este campo si tiene una dirección IP estática para esta interfaz. Debe asegurarse que es la que le ha
sido asignada ya que las direcciones IP conflictivas pueden resultar en repetidos problemas intermitentes de
acceso a la Internet.
Complete este campo con la red correspondiente a la que está conectada esta interfaz. Debe asegurarse que es
la que Usted tiene asignada.
Esta es la pasarela a través de la cual pasarán sus pedidos a la Internet. Este parámetro es crucial para permitir
que su máquina cortafuegos alcance la Internet.
Luego, debe indicar qué protocolo de arranque se debe utilizar cuando se inicializa esta interfaz. Esto depende
del protocolo que utilice su ISP. Seleccione uno de los siguientes:
• estático; si tiene un dirección IP específica asignada para su servidor (la mayoría de los casos para los servi-
dores)
• dhcp; si este protocolo configura automáticamente su dirección
• bootp; si este protocolo configura automáticamente su dirección.
Finalmente, puede decidir si desea, o no, activar automáticamente esta interfaz al arrancar.
Luego viene la configuración de su máquina como un miembro de la Internet.
Las IP de esos DNS generalmente se corresponden con los Servidores de nombres de dominio de su ISP.
47
Capítulo 4. Configurando el acceso a la Internet
Revise todos los parámetros y haga clic sobre "Aplicar" para activar su modificación.
48
Capítulo 4. Configurando el acceso a la Internet
Esta pantalla presenta la configuración actual del acceso a la Internet. En caso que Usted posea varias cuentas
de proveedor también le permite cambiar de una cuenta a otra dentro del mismo tipo de acceso.
La primer parte de la pantalla le informa acerca del acceso a la Internet que está en uso actualmente: tipo,
interfaz, proveedor.
Luego viene la lista de cuentas asociadas al tipo corriente de conexión a la Internet.
DNS1 TeléfonoProv DNS2 Contrase~
na Login Aute
free.fr 123.456.78.1 01010101 123.456.789.2 SecreTo pepe PAP quitar
proveedor.net 123.456.75.1 02313654 123.456.785.2 MuySecreTo popo PAP quitar
• Dominio del proveedor: haga clic sobre el mismo si desea activar esta cuenta.
• DNS1: el primer servidor DNS de este proveedor.
• TeléfonoProv: si aplica, dice el número telefónico que necesita discar el módem para acceder al proveedor.
• DNS2: el segundo servidor DNS de este proveedor.
• Contraseña: la contraseña asociada con el login.
• Login: el login (nombre de conexión) correspondiente con la cuenta de su proveedor.
• Aute: si aplica, el protocolo de autenticación utilizado para conectar con el proveedor.
• quitar: haga clic sobre este vínculo si desea quitar definitivamente esta cuenta de proveedor.
49
Capítulo 4. Configurando el acceso a la Internet
En caso que no tenga una conexión permanente, esta página le permitirá definir sus esquemas de conexión
con la Internet. Para cada uno de los tres períodos de tiempo definidos, se le darán cinco opciones para su
conexión.
• Conexión telefónica en horario de oficina: Defina los esquemas de conexión durante las horas de oficina
(8:00 a 18:00).
• Conexión telefónica fuera del horario de oficina: Defina los esquemas de conexión fuera del horario de
oficina (18:00 a 8:00).
• Conexión telefónica los fines de semana: Defina los esquemas de conexión durante los fines de semana
(sábado, domingo).
Para cada uno de estos períodos, elija una de las políticas siguientes:
50
Capı́tulo 5. Servicios: DHCP, Proxy, DNS, y más
Esta sección controla el uso de otros servicios, principalmente los servicios DHCP, DNS y de proxy.
Puede cambiarlos haciendo clic sobre los diferentes servicios, como por ejemplo el servidor DHCP, el proxy
web, el DNS de cacheo y la Detección de intrusiones, que se encuentran a la izquierda de la ventana de
MandrakeSecurity.
51
Capítulo 5. Servicios: DHCP, Proxy, DNS, y más
Para permitir la configuración dinámica de las máquinas nuevas que se conectan a su LAN (Red de área
local), necesitará configurar un servidor DHCP en su cortafuegos. Cuando dichas máquinas se configuran
para utilizar un servidor DHCP al arrancar, se configurarán automáticamente los parámetros de red necesarios
para integrar a las mismas a la LAN. Entonces, sólo necesita configurar a los clientes para usar un servidor
DHCP. Esta característica está disponible en la mayoría de los sistemas operativos modernos.
Simplemente elija si desea (o no) utilizar un servidor DHCP seleccionando Sí o No y haciendo clic sobre el
botón Siguiente.
Ahora debe informar a los scripts de conexión para que su ISP pueda autenticarlo. Su ISP debe haberle pro-
porcionado toda la información necesaria.
Este campo contiene el nombre de la interfaz conectada a la LAN. Sólo aquellas computadoras que comparten
la misma sub-red con esa dirección obtendrán una respuesta del servidor DHCP.
52
Capítulo 5. Servicios: DHCP, Proxy, DNS, y más
Esos campos contienen el rango de direcciones IP permitido para las máquinas cliente DHCP. El ejemplo
que se da es para una sub-red de clase C. Debe asegurarse que no incluye la primer IP (0 en ese caso) ni la
última (255) en el rango ya que las mismas están reservadas. Note que, por lo general, se reservan las primeras
direcciones para las máquinas con IP estática, mientras que las últimas las utilizan los servidores DHCP.
La asignación de una IP a una máquina siempre está limitada en el tiempo. Cuando el cliente no configura el
período de "leasing" necesario, el servidor intervendrá y volverá a asignar una IP a cada máquina al final de
cada "Lapso de tiempo predeterminado". Sin embargo, se honrará un pedido de período de "leasing" inferior al
"Lapso de tiempo máximo". En caso contrario, se volverá a asignar una IP automáticamente luego del "Lapso
de tiempo máximo".
En esta etapa, la Página de Confirmación muestra los datos que se aplicarán al cortafuegos.
Si hace clic sobre el botón Aplicar, se guardarán todos sus cambios, reemplazando a los predeterminados o a
los anteriores. Si desea cambiar los parámetros haga clic sobre el botón Anterior, cambie los parámetros, haga
clic sobre el botón Siguiente, y aplique sus cambios.
53
Capítulo 5. Servicios: DHCP, Proxy, DNS, y más
Para poder recordar los pedidos HTTP y FTP hechos desde dentro de su LAN hacia la Internet, necesitará
configurar un servidor proxy en su cortafuegos. Esto permite que una página, que piden dos usuarios dife-
rentes, se obtenga de la Internet sólo una vez, acelerando dramáticamente el acceso a esta página a la vez que
se ahorra el preciado ancho de banda.
MandrakeSecurity ha elegido al servidor proxy Squid. Este actúa como un agente, aceptando pedidos de los
clientes (por ejemplo, los navegadores web) y pasando dichos pedidos al servidor Internet apropiado. Luego
almacena una copia de los datos devueltos en un espacio reservado (caché) en disco.
Elija entre cuatro opciones antes de avanzar al paso siguiente:
• desactivar el servidor proxy: si elije no utilizar el proxy, los pedidos de sus usuarios se reenviarán directa-
mente al exterior;
• activar el proxy transparente: activa el proxy y lo configura para actuar como un proxy transparente, es
decir: los usuarios no deberán configurar sus clientes para permitirles utilizar el proxy ya que el proxy
intercepta y maneja automáticamente todos los pedidos.
• activar el proxy manual: igual que el anterior, pero los navegadores web cliente deben ser configurados
explícitamente para utilizar el servidor proxy instalado en su servidor MandrakeSecurity;
• activar el proxy manual con autenticación al nivel de usuario: igual que el anterior. ADVERTENCIA: debe
crear cuentas en la máquina cortafuegos Linux para los usuarios que están autorizados a conectarse a la
Internet.
54
Capítulo 5. Servicios: DHCP, Proxy, DNS, y más
Aquí se configurarán los parámetros del proxy. Luego de decidir sobre algunos parámetros comunes, tiene la
opción de activar (o no) el filtrado de web.
Este campo está definido por el Modo del servidor Proxy que eligió previamente entre "deshabilitado", "trans-
parente", "manual" o "manual con autenticación". En nuestro ejemplo, elegimos "manual".
Este es el puerto en la máquina cortafuegos en el cual Squid escuchará los pedidos. No es necesario realizar
cambio alguno aquí a menos que este puerto sea utilizado por otro servicio.
Este campo le permite controlar la cantidad de datos en el espacio reservado que Squid puede almacenar y
manejar. Para que su caché sea eficiente, debería ajustar el espacio del mismo según la cantidad de usuarios:
para más usuarios, se necesita más espacio. El espacio puede variar entre 10 MB y 10 GB o más.
Este campo sólo se mostrará si Usted seleccionó el modo "manual con autenticación". Le permite elegir entre
PAM (Pluggable Authentication Modules - Módulos de autenticación "enchufables"), un mecanismo flexible
para autenticar usuarios (la acción predeterminada en MandrakeSecurity); LDAP (Lightweight Directory Ac-
cess Protocol - Protocolo "liviano" de acceso a directorios) que permite el acceso a servicios de directorio en lí-
nea; Samba, que lo conectará a su grupo de trabajo Samba, por ejemplo EMPRESA si Usted utiliza tal servidor;
y finalmente NIS (Network Information Service - Sistema de información de red), que facilita la comunicación
de información crítica a todas las máquinas a través de una red.
Ingrese el correo electrónico del administrador en este campo (root@empresa.com, en nuestro ejemplo) para
que sus usuarios sepan a quién contactar en caso que ocurra un problema para comentarle los bugs/problemas
(si es que hay alguno).
55
Capítulo 5. Servicios: DHCP, Proxy, DNS, y más
Una vez que regresa a la página principal del servidor proxy Squid, puede activar el filtrado web. Esta carac-
terística le permitirá negar o restringir el acceso a ciertas páginas en la Internet, dependiendo de la URL de las
mismas. Es útil bloquear el acceso a los carteles de promociones o el contenido adulto.
Puede filtrar por URL o por contenido. Seleccione el icono de texto para cualquiera de ellos. Luego, puede ver
las reglas de filtrado para las Redes autorizadas, Restricción de tiempo, Publicidad a quitar, URL de destino
prohibidas, IP privilegiadas, IP fuente prohibidas, o realizar una copia de respaldo/restauración de sus reglas.
Para poder utilizar LDAP, necesita configurar parámetros básicos tales como los que siguen.
Grupo de trabajo Samba (ej.: Simplemente ingrese el nombre de su grupo de trabajo Samba en el
MANDRAKESOFT) campo en blanco.
56
Capítulo 5. Servicios: DHCP, Proxy, DNS, y más
La página de autenticación NIS le permite configurar dos parámetros esenciales: el dominio NIS y la lista NIS.
Dominio NIS (ej.: En este campo ingrese su nombre de dominio NIS en el formato
yp.mandrakesoft.com) siguiente: yp.sudominio.com, es decir "yp" por Páginas Amarillas,
seguido de su nombre de dominio.
Lista NIS (usualmente Igual principio que para la lista NIS: comience por "yp" seguido de la
yp_lista.pornombre) raya baja ("_"), luego el nombre de la lista en el formato "lista.nombre".
Ha activado el Guardián Proxy y esta página le permitirá configurarlo. Esta es la primer pantalla del asistente.
La misma realizará sugerencias para configurar los distintos aspectos del filtrado.
• Red autorizada: ingrese las redes/máscaras que podrán utilizar los servicios del proxy.
57
Capítulo 5. Servicios: DHCP, Proxy, DNS, y más
• Restricción horaria: permite definir el horario de conexión, es decir: cuando pueden (o no) conectar las
personas.
• Publicidad a quitar: ingrese las URL o dominios completos de los sitios de publicidad. Las imágenes que
provienen de dichos sitios no se reenviarán a los clientes.
• URL de destino prohibidas: ingrese las URL o dominios completos para los cuales se debería bloquear todo
acceso.
• IP privilegiadas: ingrese las IP de las máquinas privilegiadas en su red local. Las mismas no tendrán restric-
ción alguna de las impuestas por el filtro a las otras máquinas.
• IP fuente prohibida: designa a aquellas máquinas que no tienen autorización alguna para utilizar el proxy.
• Copia de respaldo/Restauración: le permite hacer una copia de sus reglas del proxy así como también
restaurarlas.
Siempre que haya finalizado de configurar alguna de las secciones precedentes, se lo traerá de vuelta a esta
página.
Este formulario le permitirá especificar qué sub-redes pueden utilizar los servicios del proxy. Si se deben
especificar distintas clases de máquina en su red (una para las personas que pueden acceder a la web, la otra
para las personas que no pueden), tendrá que crear una sub-red para las máquinas autorizadas y asignar las
IP de acuerdo al estado de autorización particular que se ha garantizado a la computadora.
En este campo, ingrese la dirección IP/Máscara de red de la sub-red (el ejemplo mostrado designa el rango
de IP desde 192.168.1.0 a 192.168.1.127 - donde 0 es su dirección de red y 127 su dirección de difusión). Luego
58
Capítulo 5. Servicios: DHCP, Proxy, DNS, y más
haga clic sobre el botón Añadir: Aparecerá la dirección en la lista en la parte inferior de la página.
Si desea quitar una IP de la lista, simplemente debe seleccionarla y hacer clic sobre el botón Quitar: .
Cuando haga pasado por las listas, avance al paso siguiente. Esto lo llevará de vuelta a la página principal de
filtrado del WebProxy.
Este formulario le permite definir los períodos horarios dentro de los cuales se permitirá el acceso al proxy.
Note que esto no afecta a las máquinas privilegiadas de su red local. Fuera de estos períodos horarios, las
máquinas restringidas no podrán navegar por la web.
Primero necesita elegir si habilitar o deshabilitar esta característica. Si la habilita tendrá que definir los períodos
horarios en cuestión: hay dos períodos por día hábil.
Dom AM 09:00-13:00
Debe asegurarse de respetar estrictamente el formato como se ilustra: HH:MM-HH:MM. Modifique todos los
períodos según su conveniencia.
Cuando haya finalizado con todos los períodos, avance al paso siguiente. Se le mostrará las elecciones que
hizo. Debe revisarlas y avanzar al otro paso. Esto lo llevará de vuelta a la página principal de filtrado del
WebProxy.
59
Capítulo 5. Servicios: DHCP, Proxy, DNS, y más
¿Cómo nos podemos deshacer de esas propagandas aburridas en nuestros sitios web favoritos? Examinemos
dos ejemplos: freshmeat.net y yahoo.com.
En el sitio web de freshmeat.net haga clic derecho sobre la imagen de publicidad y luego sobre "Copiar ubi-
cación de imagen" en el menú emergente (nota: la opción de su navegador puede llamarse de otra manera...).
Luego vaya a la sección Nuevo dominio de publicidad prohibido, haga clic sobre el botón del medio del ratón
(o sobre ambos botones simultáneamente si Usted posee un ratón de dos botones). Borre la última parte de la
URL y obtendrá ads.freshmeat.net. Ahora, añada este dominio a la lista.
En el sitio web de yahoo, haga clic derecho sobre la imagen de publicidad y luego copie la ubica-
ción de la imagen como se indicó antes. Luego vaya a la sección Nueva URL de publicidad prohibida
y haga clic sobre el botón del medio del ratón (o sobre ambos botones simultáneamente si Usted po-
see un ratón de dos botones) para pegar la información. Borre la última parte de la URL y obtendrá
us.a1.yimg.com/us.yimg.com/a/pr/promo/anchor. Ahora añada esta URL a la lista. Si refresca la página
de su navegador varias veces y copia la ubicación de la imagen, obtendrá varias URL distintas:
us.a1.yimg.com/us.yimg.com/a/ya/promo/anchor
us.a1.yimg.com/us.yimg.com/a/an/promo/anchor
us.a1.yimg.com/us.yimg.com/a/ya/yahoopager/messenger
us.a1.yimg.com/us.yimg.com/a/ya/yahoo_auctions
60
Capítulo 5. Servicios: DHCP, Proxy, DNS, y más
y así sucesivamente...
Este formulario le ofrece tres formas de filtrar las páginas vistas desde la red local. Estos tres tipos de filtrado
dependen de la URL de dichas páginas.
61
Capítulo 5. Servicios: DHCP, Proxy, DNS, y más
Todas las URL que contengan esta palabra se bloquearán. Haga clic en Añadir esta palabra clave a la lista para
hacerlo así.
Todas las páginas que dependan de un servidor cuyo nombre termine en este dominio se bloquearán. En
nuestro ejemplo: "http://eshop.msn.com/category.asp?catId=212" no se mostrará. Haga clic en Añadir este
dominio a la lista para hacerlo así.
no se descartará. Haga clic sobre Añadir esta URL a la lista para hacerlo así.
Luego se mostrarán las listas para las tres categorías. Puede seleccionar un elemento en esas listas y quitarlo
5.3.2.5. IP privilegiadas
Este formulario le permitirá añadir o quitar IP de las máquinas privilegiadas de su red local. Dichas máquinas
estarán libres de cualquier restricción impuesta por el filtro a las demás máquinas.
62
Capítulo 5. Servicios: DHCP, Proxy, DNS, y más
Ingrese la dirección IP completa de la máquina privilegiada. Luego haga clic sobre el botón Añadir: .
La IP aparecerá en la lista en la parte inferior de la página.
Para quitar los privilegios de una IP de la lista, simplemente debe seleccionarla y hacer clic sobre el botón
Quitar: .
Cuando haga pasado por las listas, avance al paso siguiente. Esto lo llevará de vuelta a la página principal de
filtrado del WebProxy.
5.3.2.6. IP prohibidas
Este formulario le permitirá añadir o quitar las IP de aquellas máquinas que no están autorizadas a utilizar el
proxy en absoluto. Esto significa que si, desde la red local, no hay otra pasarela a la Internet, los usuarios de
estas máquinas no podrán navegar por la web.
Ingrese la dirección IP completa del host prohibido. Luego haga clic sobre el botón Añadir: . Aparecerá
la IP en la lista en la parte inferior de la página.
63
Capítulo 5. Servicios: DHCP, Proxy, DNS, y más
Si desea quitar una IP de la lista, simplemente debe seleccionarla y hacer clic sobre el botón Quitar: .
Cuando haga pasado por las listas, avance al paso siguiente. Esto lo llevará de vuelta a la página principal de
filtrado del WebProxy.
Realizar una copia de respaldo de sus reglas del proxy es una excelente idea. También es muy conveniente
poder restaurarlas. Siga estos pasos simples para hacerlo.
• Copia de respaldo: para crear una copia de respaldo de sus reglas del proxy, simplemente haga clic sobre
el botón gris "Copia de Respaldo". Se mostrará una página nueva: haga clic mientras mantiene la tecla Shift
(Cambio) presionada sobre el vínculo Copia de respaldo del WebProxy (o haga clic derecho y elija Guardar
vínculo como) y se guardará el archivo WebProxyRulesBackup.tar.bz2 en su disco rígido.
• Restaurar: para poder restaurar sus reglas del proxy, haga clic sobre el botón "Examinar" para ubicar los
archivos adecuados (por ejemplo: WebProxyRulesBackup.tar.bz2). Luego, haga clic sobre el botón "Subir" y,
en la página siguiente, sobre el botón "Aplicar".
64
Capítulo 5. Servicios: DHCP, Proxy, DNS, y más
Su operación de copia de respaldo se completó satisfactoriamente. Ahora, siga las instrucciones debajo para
guardar su archivo de copia de respaldo de las reglas del proxy.
Simplemente haga clic mientras mantiene la tecla Cambio (Shift) apretada sobre el vínculo Copia de respaldo
del WebProxy (o haga clic derecho y elija Guardar vínculo como) y se guardará el archivo WebProxyRulesBac-
kup.tar.bz2 en su disco rígido. Luego, haga clic sobre el botón "Siguiente".
Sin embargo, si desea terminar esta operación, haga clic sobre el botón "Cancelar": se lo llevará de vuelta a la
página principal de MandrakeSecurity.
DNS es el acrónimo para Domain Name System (Sistema de Nombres de Dominio). El mismo traduce nombres
de máquina legibles para las personas en direcciones IP legibles para las máquinas y vice-versa. Este asistente
de configuración brindará un servicio local de DNS para las computadoras conectadas a su red local y todos
los pedidos no locales se reenviarán a un servidor DNS externo.
Para activar este servicio, por favor marque la casilla Habilitar y haga clic sobre el botón .
Al hacer clic sobre volverá a la página predeterminada (de inicio) cancelando este asistente.
65
Capítulo 5. Servicios: DHCP, Proxy, DNS, y más
Aquí puede especificar los servidores DNS utilizados para reenviar los pedidos.
Debe ingresar la dirección IP del servidor DNS primario y, opcionalmente, secundario en los campos corres-
pondientes. Por lo general, Usted ingresará aquí las direcciones IP de los DNS primario y secundario de su
ISP, pero puede ser que esté utilizando otro servidor DNS para reenviar los pedidos.
Una vez que ha ingresado las direcciones IP de sus servidores DNS de reenvío, haga clic sobre el botón
.
Al hacer clic sobre se lo llevará de vuelta al paso anterior de este asistente.
Al hacer clic sobre volverá a la página predeterminada (de inicio) cancelando este asistente.
Esta página le permite seleccionar y activar un Sistema de detección de intrusiones (IDS) en su servidor. Los
IDS son aplicaciones de filtrado basadas en la firma de los paquetes que se utilizan para generar alarmas
cuando se producen actividades de red fuera de lo común.
66
Capítulo 5. Servicios: DHCP, Proxy, DNS, y más
• Prelude IDS
Prelude es un IDS híbrido que combina "detección de intrusión en la red" y "detección de intrusión en el host".
• Snort IDS
Snort es un IDS de red de código abierto.
Esta página lista los servicios presentes en su máquina. Se le dará la oportunidad de habilitarlos o deshabili-
tarlos.
67
Capítulo 5. Servicios: DHCP, Proxy, DNS, y más
Status
[...]
Gpm Running reload restart stop start Details
Httpd-naat Running reload restart stop start Details
Squid Running reload restart stop start Details
[...]
La primer columna de la tabla lista el nombre del servicio y el estado actual del mismo:
• recargar: permite volver a cargar la configuración de ese servicio sin interrumpirlo. Para utilizar justo cuan-
do se ha modificado un parámetro de dicho servicio.
• reiniciar: detiene y vuelve a iniciar el servicio.
• detener: el servicio negará las conexiones subsiguientes y terminará las corrientes.
• iniciar: el servicio aceptará las conexiones subsiguientes.
• Detalles: hace aparecer otra página con más información acerca de ese servicio en particular.
68
Capı́tulo 6. Configurando el comportamiento propiamente dicho del
cortafuegos
En este capítulo pasaremos por todas las páginas de configuración bajo la sección Reglas del cortafuegos de
la interfaz. Es aquí donde se permite o niega el tráfico entre las diferentes zonas y computadoras con las que
trata el cortafuegos.
Esta sección de la interfaz permite controlar todo el tráfico que entra y sale de la máquina cortafuegos. En
particular, permite definir los grupos diferentes de computadoras (zonas) con las que tratará su cortafuegos,
y el tráfico permitido entre dichas zonas.
En esta pantalla introductoria puede encontrar los comandos de control principales para todos esos servicios
de ruteo y filtrado. Hay cuatro acciones que se pueden llevar a cabo en todo el cortafuegos:
• start (iniciar): inicia el cortafuegos y todos los servicios asociados definidos en esta sección;
• stop (detener): detiene el cortafuegos. Se cerrarán todos los canales de comunicaciones, aislando por com-
pleto a la máquina del exterior. Eso puede ser útil cuando se da cuenta que la máquina está comprometida,
pero la interfaz de administración ya no estará disponible sino que deberá conectarse físicamente desde la
consola del cortafuegos;
• restart (reiniciar): detiene el cortafuegos (si es que está corriendo) y luego lo vuelve a iniciar;
•
69
Capítulo 6. Configurando el comportamiento propiamente dicho del cortafuegos
Tenga bien presentes las implicancias cuando utiliza las acciones "stop" o "clear". Cuando haya elegido la
acción deseada, haga clic sobre el botón "Siguiente" para confirmarla.
Esta sub-sección permite definir con precisión cada uno de los grupos de computadoras (zonas) con las que
tendrá que tratar el cortafuegos. La pantalla introductoria resume la configuración corriente y permite admi-
nistrar los tres componentes del proceso de definición de zonas.
70
Capítulo 6. Configurando el comportamiento propiamente dicho del cortafuegos
Primero debe definir los nombres de las zonas. Piense con cuidado las zonas que pueden ser necesarias con su
configuración de red corriente. Predeterminadamente se brindan tres nombres, como puede ver en la primer
tabla que resume los nombres definidos. Estos valores predeterminados permiten una configuración simple
pero segura de su red.
• LAN: Red de área local. La red interna donde se conectan las máquinas cliente internas. Por lo general, no
se permiten las conexiones desde el exterior a máquinas dentro de la red LAN.
• DMZ: Zona DesMilitarizada. Por lo general, está reservada para servidores Internet. Esta zona contendrá
computadoras dedicadas a ofrecer servicios a la Internet (la zona WAN que se define debajo). Por lo tanto
se permiten las conexiones a computadoras en esta zona.
• WAN: Red de área extensa. Por lo general, esto designa a la Internet. O, más generalmente, a una red
conectada a la Internet.
Para cada una de las zonas definidas, haga clic sobre el icono correspondiente para modificar los
nombres asociados a dicha zona o sobre para quitar definitivamente dicha zona.
Si desea definir una zona nueva, haga clic sobre el icono "Añadir Zona": .
Hay una zona especial, ”fw”, que no se lista aquı́ pero que existe
siempre. La misma se utiliza para designar la zona del cortafuegos
(”firewall”): una zona que está compuesta por una única máquina,
el servidor cortafuegos en sı́ mismo.
Luego es necesario informar al sistema acerca de cada interfaz de red configurada en su cortafuegos, y la zona
asociada a las mismas.
Aquí la tabla lista las interfaces y las zonas asociadas. Si el nombre de la zona es "-" eso significa que hay varias
zonas asociadas a esta interfaz. Esas zonas "host" especiales se definen debajo, en la tercer parte de la página.
Para cada una de las interfaces definidas, haga clic sobre el icono correspondiente para modificar la
zona o las opciones asociadas con dicha interfaz o sobre para quitar definitivamente dicha interfaz.
Si desea añadir una interfaz nueva, haga clic sobre el icono "Añadir interfaz": .
Finalmente, puede definir en la última parte de la página las zonas "host" posibles. Dichas zonas están for-
madas por un grupo de computadoras que comparten una única interfaz Ethernet del cortafuegos con otras
computadoras. Por alguna razón Usted desea separar la manera en que se trata a esas máquinas con respecto
a las otras máquinas conectadas a la misma interfaz. Las máquinas que posee una zona "host" se identifican
por su máscara de sub-red.
Por ejemplo, esto puede ser útil si su servidor Internet está conectado físicamente a su red LAN. Simplemente
debe asociar la zona DMZ a una zona "host" compuesta de una única máquina: el servidor Internet.
Para cada una de las zonas "host" definidas, haga clic sobre el icono correspondiente para modificar
Si desea añadir una zona "host" nueva, haga clic sobre el icono "Añadir host": .
71
Capítulo 6. Configurando el comportamiento propiamente dicho del cortafuegos
Este formulario le permite añadir/modificar los nombres que identifican a las zonas. Hay tres cadenas de
caracteres que identifican a una única zona, que se usan dependiendo del lugar donde se muestren.
ID de zona (único): Este número único (ID) será utilizado en todo lugar donde sea
necesario identificar unívocamente a la zona. Se recomienda no
modificar el valor predeterminado sugerido.
Zona: Nombre corto para la zona. El nombre debería tener 5 caracteres, o
menos, de longitud y consistir de letras minúsculas o números. Debe
comenzar con una letra. Además, están reservados para uso del sistema
los nombres asignados al cortafuegos y "multi".
Mostrar nombre de zona: El nombre de la zona como se muestra en los registros.
Comentarios: Una cadena de caracteres para identificar con más precisión el rol de
esa zona, a los propósitos del mantenimiento.
Advertencia 1: No se permiten caracteres de espacio en ninguna de estas tres cadenas de caracteres. Es más
seguro limitar los caracteres utilizados a letras, números, y el guión bajo "_".
Advertencia 2: Si cambia el nombre a una zona o la quita, debería detener y luego iniciar el cortafuegos para
instalar los cambios en lugar de volver a iniciarlo en la página principal de la sección "Reglas del cortafuegos".
Ejemplo: Tiene una granja de servidores web todos ubicados en el misma sub-red. Aquí crearemos esa zona y
la configuraremos más tarde.
Zona: www
Mostrar nombre de zona: WWW
Comentarios: Granja_de_Servidores_Web
72
Capítulo 6. Configurando el comportamiento propiamente dicho del cortafuegos
A cada interfaz Ethernet que importa al cortafuegos debe estar asociada al menos una zona. Es posible asociar
múltiples zonas a una única interfaz a través de las zonas "host". Este formulario también permite configurar
con precisión las opciones asociadas a la interfaz.
ID de la interfaz: Este número único (ID) será utilizado en todos los lugares donde se
necesite identificar unívocamente a la interfaz. No se recomienda
modificar el valor predeterminado propuesto.
Zona: Elija la zona que desea asociar con la interfaz en la lista desplegable. La
zona especial "-" significa que varias zonas "host" estarán asociadas con
dicha interfaz.
Interfaz: Elija la interfaz que desea configurar en la lista desplegable. Si no se
muestran las interfaces deseadas, primero debe declararlas en la
sección "Sistema".
Difusión: La dirección de difusión para la sub-red conectada a esta interfaz. Esto
se debería dejar en blanco para interfaces Punto a Punto (ppp*, ippp*);
si necesita especificar opciones para tales interfaces, ingrese "-" en esta
columna. Si pone el valor especial "detect" en esta columna, el
cortafuegos determinará automáticamente la dirección de difusión.
opciones: Nueve opciones que se pueden marcar para especializar el
comportamiento de la interfaz. Vea la tabla de abajo.
Debajo tiene detalles acerca de las opciones disponibles para las interfaces. Debe revisarlas todas con cuidado
para cada interfaz; para algunas interfaces en particular algunas de las opciones son altamente recomendables.
73
Capítulo 6. Configurando el comportamiento propiamente dicho del cortafuegos
noping Esta interfaz ignorará los paquetes ICMP de pedido de eco (ping).
routestopped Cuando el cortafuegos está detenido, se aceptará el tráfico hacia y
desde esta interfaz y el ruteo ocurrirá entre esta interfaz y otras
interfaces con la opción "routestopped" activa.
norfc1918 Los paquetes que llegan a esta interfaz y tienen una dirección fuente o
destino que está reservada en RFC 1918 (Direcciones de red privadas)
se registrarán e ignorarán. Por lo general se utiliza esta opción para las
interfaces conectadas a la Internet.
routefilter Invocar a la facilidad de filtrado de ruta del núcleo sobre esta interfaz.
El núcleo rechazará cualquier paquete que ingresa por esta interfaz que
tiene una dirección fuente que sería ruteada hacia afuera a través de
otra interfaz en el cortafuegos. Advertencia: Si especifica esta opción
para una interfaz, entonces dicha interfaz debe estar activa antes de
iniciar el cortafuegos.
multi La interfaz tiene múltiples direcciones y Usted desea poder rutear entre
las mismas. Ejemplo: tiene dos direcciones en su única interfaz local
eth1, una para cada sub-red 192.168.1.0/24 y 192.168.2.0/24 y desea
rutear entre estas sub-redes. Debido a que sólo tiene una interfaz en la
zona local, normalmente el cortafuegos no creará una regla para
reenviar los paquetes de eth1 a eth1. Si añade "multi" en la entrada para
eth1 entonces el cortafuegos creará la cadena loc2loc y la regla de
reenvío apropiada.
dropunclean Los paquetes de esta interfaz que se seleccionan debido al objetivo de
coincidencia ’unclean’ en iptables se registrarán y luego ignorarán,
opcionalmente.
logunclean Esta opción funciona como la anterior con la excepción que los
paquetes que cumplen con el objetivo de coincidencia ’unclean’ en
iptables se registran pero no se ignoran.
blacklist Esta opción causa que los paquetes entrantes en esta interfaz se
verifiquen contra la lista negra. Vea la sub-sección "lista negra".
Ejemplo: Con el mismo ejemplo de la zona de servidores web, ahora indicaremos que a la zona "www" se
atribuye la sub-red conectada a la interfaz "eth3".
Zona: www
Interfaz: eth3
Difusión: detectar
74
Capítulo 6. Configurando el comportamiento propiamente dicho del cortafuegos
Si ha asignado una zona especial "-" a una interfaz, ahora debe definir las zonas "host" para dicha interfaz.
Una zona host" es meramente un grupo de máquinas identificadas por su sub-red común. Se puede reducir a
una única máquina.
ID del host: Este número único (ID) se utilizará en todos los lugares donde sea
necesario identificar unívocamente a esta zona host.
Zona: Elija el nombre de la zona a utilizar para esta zona host en la lista
desplegable.
Interfaz: Elija la interfaz asociada a esta zona host en la lista desplegable. Elija
"+" si no desea asociar una interfaz en particular a la dirección de la
zona o sub-red. Nota: el uso de "+" debilita levemente al cortafuegos e
incrementa levemente la latencia de los paquetes.
Dirección IP: La dirección del host o sub-red para las máquinas asociadas a esta zona
host. Ejemplo: "192.168.2.0/2".
opciones: La opción "routestopped", si está marcada, tiene el efecto siguiente:
Cuando se detiene el cortafuegos, el tráfico hacia y desde este host (o
estos hosts) se aceptará y ocurrirá el ruteo entre este host y otras
interfaces y hosts con la opción "routestopped".
Ejemplo: desea que algunas máquinas precisas en la red local puedan administrar el cortafuegos, incluso si
el cortafuegos está detenido. Luego de haber configurado la interfaz local "eth2" como asignada a la zona
especial "-" con la opción "multi", debe configurar la zona host especial "adm" que sólo se corresponde con
algunas máquinas de la sub-red local.
Zona: adm
Interfaz: eth2
Dirección IP: 192.168.1.0/25
opciones: routestopped
75
Capítulo 6. Configurando el comportamiento propiamente dicho del cortafuegos
Esta sub-sección propone servicios para facilitar las comunicaciones entre la Internet y las máquinas internas,
ya sean clientes o servidores.
Advertencia: antes de salir de la misma, no olvide hacer clic sobre el botón "Aplicar" cuando ha finalizado de
configurar los servicios necesarios de esta sub-sección.
La parte "Enmascarado clásico" maneja las reglas que permiten que los clientes internos accedan a la Internet.
Para cada una de las reglas definidas (si existe alguna), haga clic sobre el icono para modificar la regla
Si desea definir un enmascarado nuevo, haga clic sobre el icono (Añadir enmascarado).
La parte "NAT estática" maneja las reglas para la Traducción de la dirección de red. Esto permite que los
servidores internos (generalmente en la DMZ) aparezcan como que son parte de la Internet para los clientes
externos.
76
Capítulo 6. Configurando el comportamiento propiamente dicho del cortafuegos
Para cada una de las reglas definidas (si existe alguna), haga clic sobre el icono correspondiente para
Si desea añadir una regla NAT nueva, haga clic sobre el icono (Añadir NAT).
Finalmente, en la última parte de la página, las reglas "Proxy ARP".
Para permitir que los clientes de su red interna accedan a la Internet, debe enmascarar esta red con respecto a
la Internet, ya que está basada en direcciones privadas que no son válidas en la Internet.
ID: El número único (ID) que identifica a esta regla clásica de enmascarado
de IP.
Red enmascarada: La sub-red que desea que enmascare la interfaz de abajo. La misma se
puede expresar como una única dirección IP, una sub-red o el nombre
de una interfaz. Opcionalmente, la sub-red puede contener un "!" al
final y una lista separada por comas de las direcciones y/o sub-redes
que se deben excluir del enmascarado.
A través de la interfaz: La interfaz que enmascarará a la sub-red; normalmente es su interfaz
conectada a la Internet.
Red/Host opcional: Opcionalmente puede especializar la regla añadiendo una sub-red o IP
de un host. Cuando se añade esta calificación, sólo se enmascararán los
paquetes dirigidos a ese host o sub-red.
Dirección fuente (SNAT) La dirección fuente a utilizar para los paquetes salientes. Esta columna
opcional: es opcional y si se deja en blanco se utiliza la dirección IP primaria de la
interfaz.
Ejemplo 1: Tiene una cantidad de túneles IPSEC a través de ipsec0 y desea enmascarar el tráfico de su sub-red
192.168.9.0/24 sólo a la sub-red remota 10.1.0.0/16.
77
Capítulo 6. Configurando el comportamiento propiamente dicho del cortafuegos
Ejemplo 2: Tiene una línea DSL conectada a eth0 y una red local (192.168.0.0/24) conectada a eth1. De-
sea que todas las conexiones local->red utilicen la dirección fuente 206.124.146.176. Es más, desea excluir a
192.168.10.44 y 192.168.10.45 de la regla SNAT.
NAT estática es una manera de hacer que los sistemas detrás de un cortafuegos configurados con una IP
privada (aquellas reservadas para uso privado según RFC 1819) parezcan tener direcciones IP públicas. Para
permitir el acceso a la Internet a los clientes de su red interna, debe enmascarar esta red con respecto a la
Internet, ya que está basada en direcciones privadas que no son válidas en la Internet.
IMPORTANTE: Si todo lo que desea es reenviar puertos a servidores detrás de su cortafuegos, NO desea
usar NAT estática. El reenvío de puertos también se puede lograr con entradas simples en la sub-sección
"reglas". También, en la mayoría de los casos Proxy ARP brinda una solución superior a NAT estática ya que
los sistemas internos se acceden utilizando la misma dirección IP internamente y externamente.
ID: El número único (ID) que identifica a esta regla NAT estática.
IP externa pública: Dirección IP externa para la traducción - Esta NO debería ser la
dirección IP primaria de la interfaz que se nombra en el campo
siguiente.
Sobre la interfaz de red: Interfaz sobra la cual desea que aparezca la "IP externa pública".
IP interna privada (RFC 1918): Dirección IP interna para la traducción. Debe ser una dirección IP
privada según lo define la RFC 1918.
78
Capítulo 6. Configurando el comportamiento propiamente dicho del cortafuegos
Todos los hosts Si se activa, esta NAT será efectiva desde todos los hosts. Si no,
entonces NAT sólo será efectiva a través de la interfaz que se nombra
en el campo "Sobre esta interfaz de red".
Sistema cortafuegos Si se activa, NAT será efectiva también desde el sistema cortafuegos en
sí mismo.
Ejemplo: Deseamos hacer que el sistema interno con la IP 10.1.1.2 aparezca estar en la sub-red 130.252.100.* de
la Internet. Si asumimos que la interfaz conectada a la Internet es eth0, entonces la regla siguiente haría que el
sistema con IP 10.1.1.2 parezca tener 130.252.100.18 como dirección IP.
Nota 1: La opción "Todos los hosts" se utiliza para especificar que el acceso a la IP externa desde todas las
interfaces del cortafuegos debería pasar por NAT. Si se configura en "No", sólo el acceso desde la interfaz en
el campo indicado debería pasar por NAT.
Nota 2: Activar la opción "Sistema cortafuegos" hace que el paquete que se origina en el cortafuegos propia-
mente dicho y que esté destinado a la dirección "externa" sea redireccionado a la "IP interna privada".
Este formulario se utiliza para definir las reglas del Proxy ARP (Address Resolution Protocol - Protocolo de
resolución de direcciones). Necesita una regla para cada sistema que pasará por el Proxy ARP.
ID: El número único (ID) que identifica esta regla del Proxy ARP.
Dirección IP del servidor: Dirección del sistema objetivo.
Interfaz interna: La interfaz que conecta al sistema. Si la interfaz es obvia a partir de la
sub-red, puede elegir "-".
Interfaz externa: La interfaz externa que Usted desea que honre pedidos ARP para la
"Dirección IP del servidor" especificada arriba.
79
Capítulo 6. Configurando el comportamiento propiamente dicho del cortafuegos
Ya tiene una ruta a la IP del Si ya tiene una ruta a través de la "Interfaz interna" a la "Dirección IP
servidor: del servidor", marque esta opción. Si desea que el cortafuegos
propiamente dicho añada la ruta, debe asegurarse que esta opción no
está marcada.
Ejemplo: tiene una dirección IP pública 155.182.235.0/28. Usted configura su cortafuegos como sigue:
eth0 - 155.186.235.1 (conexión con la Internet)
eth1 - 192.168.9.0/24 (sistemas locales enmascarados)
eth2 - 192.168.10.1 (interfaz conectada con su DMZ)
En su DMZ, usted desea instalar un servidor web/FTP con dirección pública 155.186.235.4. En el servidor web,
hace la sub-red igual que eth0 en el cortafuegos y configura a 155.186.235.1 como la pasarela predeterminada:
Nota: Puede desear configurar a los servidores en su DMZ con una sub-red que es más pequeña que la sub-red
de su interfaz conectada con la Internet. En este caso tendrá que poner "Sí" en la columna HAVEROUTE (ya
tiene una ruta).
80
Capítulo 6. Configurando el comportamiento propiamente dicho del cortafuegos
Esta sub-sección se utiliza para describir la política del cortafuegos con respecto al establecimiento de co-
nexiones. El establecimiento de conexiones se describe en términos de clientes que inician las conexiones y
servidores que reciben dichos pedidos de conexión. Las políticas definidas aquí son las políticas predetermi-
nadas. Si no aplica regla alguna de la sub-sección "Reglas" a un pedido de conexión en particular, entonces se
aplica la política predeterminada definida aquí.
La tabla resume todas las políticas predeterminadas configuradas en este momento. Las configuraciones de
fábrica hacen que, predeterminadamente, todas las políticas sean "REJECT" (RECHAZAR), de forma tal que
sólo se permiten las conexiones que se explicitan en la sub-sección "Reglas".
Atención: El orden es importante: el cortafuegos procesa las reglas de las políticas de arriba hacia abajo y
utiliza la primer política aplicable que encuentra. Por ejemplo, en el archivo de políticas siguiente, la política
para las conexiones (loc, loc) sería ACCEPT (ACEPTAR) como lo especifica la primer entrada incluso cuando
la tercer entrada en el archivo especifica REJECT (RECHAZAR).
Si hay muchas reglas, puede filtrarlas por zona cliente y servidor. Elija las zonas "cliente" y "servidor" deseadas
entre las que están disponibles en las listas desplegables y haga clic sobre el icono . La zona especial
"*" es simplemente un comodín que se corresponde con todas las zonas.
Recordatorio: La zona "fw" designa al cortafuegos en sí mismo.
Para cada una de las políticas definidas, haga clic sobre el icono correspondiente para modificar dicha
81
Capítulo 6. Configurando el comportamiento propiamente dicho del cortafuegos
política o sobre para quitarla definitivamente. Para añadir una política nueva, haga clic sobre el icono
Está a punto de definir aquí la política predeterminada para los pedidos de conexión entre una zona cliente y
una servidor.
Para que se active esta política, la conexión se debe originar desde una máquina en la "Zona cliente" y estar
dirigida a una máquina que pertenezca a la "Zona servidor". Luego se tomará la acción que dicta la "Política
predeterminada" para dicha conexión. Opcionalmente, si se ha activado esta política, la misma generará una
entrada en el registro con nivel "Registro".
82
Capítulo 6. Configurando el comportamiento propiamente dicho del cortafuegos
Ejemplo: Usted confía en las personas que están en su red local "lan" y no desea restringirles el acceso a servicio
alguno en la web (zona "wan"). No desea registrar la actividad de los mismos.
Aquí estamos en el núcleo mismo del cortafuegos. La sub-sección "Reglas" definen las excepciones a las polí-
ticas establecidas en "Políticas predeterminadas". Hay una entrada en la tabla para cada una de estas reglas.
83
Capítulo 6. Configurando el comportamiento propiamente dicho del cortafuegos
La tabla resume todas las reglas configuradas en este momento. Predeterminadamente, MandrakeSecurity
define reglas estándar para las zonas predeterminadas (LAN, WAN, DMZ). Debido a que la política predeter-
minada es "TIRAR" (ignorar) cualquier conexión, las reglas predeterminadas permiten precisar algunas:
• Las computadoras de la LAN pueden conectar con la Internet (WAN) para navegar por la web, servicios de
correo, FTP, y conexiones SSH;
• Las computadoras de la LAN se puede conectar al servidor SSH del cortafuegos o la interfaz web Mandra-
keSecurity;
• Se aceptan todos los pedidos de DNS (Servicio de Nombres de Dominio) dirigidos a la Internet;
• Se permiten los ecos "ping" entre las zonas internas.
Si hay muchas reglas, las puede filtrar. Elija las zonas "Cliente" y "Servidor" deseadas así como también un
"Puerto" en las listas desplegables y haga clic sobre el icono . La zona o puerto especial "*" es simple-
mente un comodín que coincide con todas las posibilidades.
Recuerde: la zona "fw" designa al cortafuegos en sí mismo.
Para cada regla definida en la tabla haga clic sobre el icono correspondiente para modificar dicha
host" correspondiente:
Añadir regla simple Aquí se le presentará el formulario de regla simple, permitiendo definir
una regla "ACCEPT" especificando sólo la fuente, destino y protocolo.
Añadir regla personalizada El formulario que se muestra aquí permite la definición de reglas más
complejas, con todos los tipos de acciones disponibles, y algunas
opciones tales como registro, reenvío y SNAT.
84
Capítulo 6. Configurando el comportamiento propiamente dicho del cortafuegos
Aquí está a punto de definir una regla nueva para autorizar una conexión específica entre dos zonas diferentes.
Siempre que una conexión coincida con el criterio definido aquí, se permitirá la misma.
Ejemplo: Usted desea reenviar todos los pedidos de conexión por SSH desde la Internet al sistema local
192.168.1.3.
85
Capítulo 6. Configurando el comportamiento propiamente dicho del cortafuegos
Está a punto de definir una regla nueva para manejar una conexión específica entre dos zonas diferentes. Si el
pedido coincide con los diferentes criterios definidos aquí, se tomará la acción "Resultado".
Aquí tiene una descripción de los diferentes campos disponibles en el formulario, debe completarlos de acuer-
do al criterio que desea que coincida para activar esta regla. También están disponibles algunas opciones para
manejar estas conexiones:
Ejemplo: desea que el servidor FTP con dirección 192.168.2.2 en su DMZ enmascarada se pueda acceder desde
la sub-red local 192.168.1.0/24. Note que debido a que el servidor está en la sub-red 192.168.2.0/24, podemos
asumir que el acceso al servidor desde dicha sub-red no involucrará al cortafuegos.
Resultado ACCEPT
Registro
Servicios predefinidos ftp
Protocolo tcp
Cliente loc | 192.168.1.0/24
Servidor dmz | 192.168.2.2
Dirección de reenvío 155.186.235.151
86
Capítulo 6. Configurando el comportamiento propiamente dicho del cortafuegos
SNAT
Esta página lista las máquinas (hosts) o sub-redes para las cuales los pedidos de conexión se negarán sistemáti-
camente, incluso si la regla explícita permite la conexión en condiciones normales. Note que para que esta lista
sea efectiva, la(s) interfaz(ces) en la(s) que se conecta(n) dichas IP deben tener activa la opción "lista_negra" en
la sub-sección "Configuración de Zonas".
• Para añadir una IP/sub-red nueva a la lista negra, debe ingresarla en el campo "Añadir IP/Sub-red del host"
y hacer clic sobre el icono "Añadir Entrada" . La dirección nueva aparecerá en la lista.
• Para quitar une IP/sub-red de la lista negra, debe seleccionarla en la lista y hacer clic sobre el icono "Quitar
entrada" .
87
Capítulo 6. Configurando el comportamiento propiamente dicho del cortafuegos
Esta página lista y permite manejar las reglas de TOS (Tipo de Servicio) del cortafuegos. Las reglas TOS or-
denan al cortafuegos modificar los encabezados de los paquetes añadiendo un valor TOS. Este valor brinda
información adicional, notablemente a los routers, de forma tal que se da un tratamiento óptimo a los paquetes
de acuerdo al uso de los mismos.
"Puerto" en las listas desplegables y haga clic sobre el icono . La zona o puerto especial "*" es simple-
mente un comodín que coincide con todas las posibilidades.
Recuerde: la zona "fw" designa al cortafuegos en sí mismo.
Para cada una de las reglas definidas en la tabla, haga clic sobre el icono correspondiente para modi-
Si desea añadir una regla nueva, haga clic sobre el icono "Añadir regla TOS" .
88
Capítulo 6. Configurando el comportamiento propiamente dicho del cortafuegos
Este formulario define las reglas TOS (Type Of Service - Tipo de servicio), que añaden un valor TOS a hacer
coincidir en los encabezados de los paquetes.
Siempre que un paquete que está pasando a través del cortafuegos coincida con el criterio definido aquí, se
añadirá el valor TOS correspondiente.
Ejemplo: Desea que los paquetes de datos FTP se manejen de forma tal de maximizar la velocidad de transfe-
rencia, sin importar la confiabilidad y demora, en todas las direcciones.
89
Capítulo 6. Configurando el comportamiento propiamente dicho del cortafuegos
90
Capı́tulo 7. Configuración de VPN
Este capítulo explica qué es una VPN y cómo configurar una VPN utilizando MandrakeSecurity para actuar
tanto como el lado servidor como el cliente en una VPN.
VPN utiliza “túneles” para crear una red privada que atraviesa la Internet pública. Un túnel se puede pensar
como el proceso de encapsular un paquete dentro de otro y enviarlo a través de la red (la Internet en el caso
de la VPN) MandrakeSecurity usa IPSec1 como protocolo para el manejo de los túneles.
La “red de confianza” entre las máquinas privadas a través de la Internet pública se construye por medio de
los Certificados y una Autoridad Certificante (CA del inglés Certificate Authority) La CA es una entidad en la
que confían los participantes de una VPN. Los certificados que crea su sistema MandrakeSecurity adhieren
a los estándares de la industria pero no estarán garantizados por una CA tercera parte, como VeriSign por
ejemplo. Por supuesto, Usted también puede utilizar sus propios certificados aprobados por CAs públicas con
su sistema MandrakeSecurity .
• Posibilidad de conectar entre sí redes privadas distribuidas geográficamente. Este es el motivo mismo que
dio origen al desarrollo de las VPN. Piense en conectar entre sí sucursales diferentes de su empresa sin
importar el lugar del mundo en el que se encuentren.
• Comunicaciones seguras. Debido a que todo el tráfico en la VPN está cifrado, puede estar tranquilo que sus
datos permanecen seguros mientras viajan por la red.
• Reducción de costos. Al utilizar una red mundial ya establecida (la Internet) todo lo que Usted necesita
para conectar entre sí sus redes privadas dispersas ya está en su lugar. No es necesario pagar canales de
comunicación dedicados (muy) onerosos. Es más que suficiente utilizar uno o dos vínculos de alta velocidad
con la Internet, como por ejemplo conexiones DSL.
91
Capítulo 7. Configuración de VPN
• Usted no administra toda la red. Debido a que las redes públicas son una parte inherente de una red VPN,
Usted no tiene control alguno sobre la parte “pública” de la red.
Sin embargo, esto también es uno de los mayores beneficios de la VPN: administración reducida de la red
y costos menores. Además, la parte pública de la red es la Internet y esta última está bien administrada por
personas capacitadas y con recursos suficientes para asegurar la calidad de servicio necesaria.
• Punto único de falla. Por lo general, sólo hay un servidor VPN por lo que, si esa máquina falla, la red se
cae. Sin embargo, este riesgo se puede disminuir utilizando máquinas tolerantes a las fallas. Como siempre,
todo esto depende de cuan críticas son sus operaciones.
92
Capítulo 7. Configuración de VPN
Por favor, consulte Configurando el comportamiento propiamente dicho del cortafuegos, página 69 para más infor-
mación acerca del significado de los diferentes campos.
Luego presione el botón Siguiente para añadir la zona nueva que identifica a la VPN propiamente dicha. Una
vez que vea la zona listada en la página Configuración de Zonas, presione el botón Aplicar para que sus cambios
tengan efecto.
93
Capítulo 7. Configuración de VPN
Por favor, consulte Configurando el comportamiento propiamente dicho del cortafuegos, página 69 para más infor-
mación acerca del significado de los diferentes campos.
Luego presione el botón Siguiente para añadir la interfaz IPSec para la VPN. Una vez que ve la interfaz listada
en la página Configuración de Zonas, presione el botón Aplicar para que sus cambios tengan efecto.
94
Capítulo 7. Configuración de VPN
la VPN (all->vpn):
También debe añadir una política similar para el tráfico entrante desde la VPN y dirigido a las otras zonas
(vpn->all) para configurar un vínculo de comunicación bidireccional.
Por favor, consulte Configurando el comportamiento propiamente dicho del cortafuegos, página 69 para más infor-
mación acerca del significado de los diferentes campos.
Luego presione el botón Siguiente para añadir la política del cortafuegos para la VPN. Una vez que ha añadido
las dos políticas predeterminadas y las ve listadas en la página Configuración de las políticas predeterminadas,
presione el botón Aplicar para que sus cambios tengan efecto.
95
Capítulo 7. Configuración de VPN
• ID (único). El identificador único para este túnel. Es altamente recomendable no realizar cambios a este
valor.
• Tipo. El tipo de túnel. ipsec para un túnel IPSec (la configuración predeterminada y recomendada); ipip
para un túnel IPIP.
• Zona. La zona desde/hacia la cual fluirá el tráfico VPN utilizando este túnel. Para el tipo de VPN que
estamos configurando aquí, esto se debe poner en wan (la zona de la Internet)
• IP de la pasarela. La dirección IP de la máquina pasarela “remota”. En nuestro ejemplo, configuramos esto
en 0.0.0.0/0, lo cual significa que se permitirá el tráfico VPN desde cualquier lugar de la Internet.
• Zona de la pasarela (opcional). Configurado en vpn debido a que será la VPN quien oficie de “pasarela”
entre ambas redes privadas.
Luego presione el botón Siguiente para añadir el túnel del cortafuegos para la VPN. Una vez que lo vea listado
en la página Túneles, presione el botón Aplicar para que sus cambios tengan efecto.
96
Capítulo 7. Configuración de VPN
7.3.6.1. Clave CA
Vaya a la subsección CA de la sección VPN, haga clic sobre el vínculo Clave CA y presione el botón Siguiente.
En la figura siguiente se muestran valores de ejemplo para los campos:
A continuación una explicación breve de algunos de los campos (los otros se explican por sí solos):
• Nombre común. Este se debe configurar como el FQDN (Fully Qualified Domain Name, Nombre de dominio
completamente calificado) de su máquina MandrakeSecurity .
• Días. El tiempo de expiración, en días, de este certificado. En el ejemplo está puesto en 10 años.
• Días Crl. Cuántos días deben transcurrir hasta que la Lista de Certificados Revocados (CRL) se considera
obsoleta.
• Bits. Cuántos bits se deben utilizar para la generación de las claves. Normalmente se pone en 1024 o 2048.
No utilice valores inferiores a 1024 para este campo.
• País. El código ISO de dos letras del país en el que se encuentra su sistema MandrakeSecurity .
• Dirección de correo electrónico. La dirección de correo electrónico del administrador del sistema Mandra-
keSecurity . Normalmente, esto se configura como admin@fqdn_del_host_mandrakesecurity.ext.
97
Capítulo 7. Configuración de VPN
Una vez que está satisfecho con sus ajustes, presione el botón Siguiente y luego haga clic sobre el vínculo
Generar un Certificado Autofirmado para generar al certificado para la CA.
Entonces, su servidor MandrakeSecurity (Servidor MNF A) está sobre el “lado izquierdo” y todos los demás
servidores/clientes están sobre el “lado derecho” de la VPN. Esta es una convención que se debe establecer de
antemano y se deben configurar ambas partes (izquierda y derecha) para que la configuración esté completa.
Vaya a la subsección Servidor de la sección VPN y haga clic sobre el vínculo Añadir un Servidor VPN. En la
figura siguiente se muestran valores típicos para los campos:
98
Capítulo 7. Configuración de VPN
• Id del Servidor VPN. Identificador único numérico. Es seguro (y se recomienda) no realizar modificaciones
a este valor.
• Lado. Configurado en Izquierda para su sistema MandrakeSecurity y en Derecha para el sistema remoto.
• Nombre común. Esto debe configurarse con el FQDN de su máquina MandrakeSecurity para el lado iz-
quierdo y con el FQDN de la máquina remota para el lado derecho.
• IP. La dirección IP de la interfaz Internet de su máquina MandrakeSecurity para el lado izquierdo y la
dirección IP de la máquina remota para el lado derecho.
• Sub-red/máscara. La IP y máscara de la red para el lado (izquierdo o derecho) correspondiente. En nues-
tro ejemplo, la configuramos en 192.168.0.0/24 para el lado izquierdo y en 172.16.1.0/24 para el lado
derecho.
• Próximo salto. La dirección IP de la pasarela del sistema. Esto dependerá de la dirección IP de la má-
quina que está configurando, pero por lo general es igual que la IP del host pero con 1 como último nú-
mero. Por ejemplo, si la IP de su host es 123.234.123.200, entonces debería configurar este valor como
123.234.123.1.
• Autenticación. x509 es el único tipo de certificado soportado.
Una vez que añadió tanto el lado izquierdo como el derecho, haga clic sobre el botón Aplicar y luego sobre el
vínculo Reiniciar IPSec para que sus cambios tengan efecto.
¡Felicidades! Ya está configurado el servidor VPN.
99
Capítulo 7. Configuración de VPN
Ahora tiene que distribuir todos los certificados y claves necesarias a las partes interesadas. Esta distribución
debe realizarse de manera segura debido a que la seguridad de toda la VPN depende de dichos certificados y
claves. Puede enviar por correo electrónico los archivos necesarios usando cifrado (ej.: con OpenPGP ), reunirse
personalmente con las partes interesadas y entregarles un disquete con los datos, o cualquier otra forma segura
que se le pueda ocurrir.Nunca envíe por correo electrónico estos archivos sin utilizar alguna forma de cifrado.
Los archivos a distribuir a las partes remotas son:
• /etc/freeswan/ipsec.d/fqdn_de_mandrakesecurity.crt
• /etc/freeswan/ipsec.d/fqdn_del_sistema_remoto.crt
• /etc/freeswan/ipsec.d/private/fqdn_del_sistema_remoto.key
Luego las partes remotas deben copiar esos archivos a los lugares apropiados en sus sistemas; de más está
decir que esta operación depende del tipo de sistema por lo que aquí no se detallará.
100
Capítulo 7. Configuración de VPN
Una vez que completó todos los campos, presione el botón Aplicar para que sus cambios tengan efecto.
101
Capítulo 7. Configuración de VPN
Debe copiar a su sistema los archivos que se listan en Distribución de los certificados y las claves, página 99 (re-
cuerde que esto depende del sistema y por lo tanto no se explicará aquí como realizarlo) y luego hacer clic
sobre el vínculo Reiniciar IPSec para que los cambios tengan efecto.
102
Capı́tulo 8. Configuración de los clientes “enmascarados”
Este capítulo le mostrará como hacer que sistemas operativos diferentes utilicen una máquina GNU/Linux
con enmascarado configurada como pasarela al mundo exterior. Todas las pruebas resultaron exitosas en los
sistemas operativos siguientes:
103
Capítulo 8. Configuración de los clientes “enmascarados”
104
Capítulo 8. Configuración de los clientes “enmascarados”
Aquí, debe ingresar la dirección IP correcta de la pasarela y la del servidor DNS. Una vez que esto está hecho,
debe seguir los pasos del asistente y volver a iniciar la red cuando el asistente se lo proponga. Y eso es todo.
Su red está configurada apropiadamente y lista para ser utilizada. La configuración ya es permanente.
105
Capítulo 8. Configuración de los clientes “enmascarados”
1. En el escritorio, haga clic derecho sobre el icono Mis sitios de red, y seleccione Propiedades en el menú que
aparece.
2. En la ventana Conexiones de red haga lo mismo con la conexión vinculada a la red donde está ubicada la
pasarela.
3. En el diálogo siguiente seleccione la entrada Protocolo de Internet (TCP/IP) y haga clic sobre el botón
Propiedades.
4. En este diálogo Usted puede elegir marcar Obtener una dirección IP automáticamente si tiene un servidor
DHCP en su red. Entonces, también debería configurarse automáticamente la pasarela. De no ser así,
marque Usar la dirección IP siguiente y complete los campos asociados.
Comience por ir al Panel de Control (Inicio+Configuración→Panel de Control) y encuentre el icono de red que
se muestra. Haga doble clic sobre el mismo: aparecerá el panel de configuración de la red.
106
Capítulo 8. Configuración de los clientes “enmascarados”
En la lista que se muestra, debería encontrar un protocolo denominado TCP/IP. De no ser así, tendrá que
consultar la documentación de su sistema para encontrar la manera de instalarlo. Si ya está allí, selecciónelo y
haga clic sobre “Propiedades”.
107
Capítulo 8. Configuración de los clientes “enmascarados”
Esta ventana le permitirá configurar sus parámetros TCP/IP. El administrador de su sistema le dirá si Usted
tiene una dirección IP estática o si está utilizando DHCP (dirección IP automática) Haga clic sobre la solapa
Puerta de enlace.
108
Capítulo 8. Configuración de los clientes “enmascarados”
El resto ¡es un juego de niños! Complete los blancos con la dirección IP de su pasarela (en nuestro ejemplo es
192.168.0.1) Haga clic sobre el botón Agregar y luego sobre el botón Aceptar.
Deberá reiniciar su computadora, por supuesto. Una vez que esté hecho, debe fijarse si puede llegar al resto
del mundo.
2. Primero, seleccione Protocolo Internet (TCP/IP) en la lista de protocolos de red. Luego, haga clic sobre
el botón Propiedades y seleccione la tarjeta de red conectada a la red local (Figura 8-9) En este ejemplo,
mostramos una configuración con el servidor DHCP activado en el servidor MandrakeSecurity : la opción
Obtener una dirección IP automáticamente está marcada.
109
Capítulo 8. Configuración de los clientes “enmascarados”
Si este es su caso, sólo necesita confirmar todas esas opciones y reiniciar. En caso contrario, debe seguir los
pasos siguientes.
3. Si no tiene un servidor DHCP, debe configurar a mano todos los parámetros. Comience marcando la
opción Usar la siguiente dirección IP (Figura 8-10)
110
Capítulo 8. Configuración de los clientes “enmascarados”
4. Simplemente complete el campo Puerta de enlace predeterminada con 192.168.0.1 (la dirección IP de la
máquina GNU/Linux que comparte la conexión en nuestro ejemplo)
5. Finalmente, deberá especificar los servidores DNS que utiliza en la solapa DNS como se muestra en Figura
8-11.
Haga clic sobre Aceptar en los cuadros de diálogo cuando aparezcan y vuelva a iniciar su computadora para
poner a prueba la configuración.
111
Capítulo 8. Configuración de los clientes “enmascarados”
Antes que nada debe abrir el Panel de Control TCP/IP como se muestra debajo en el menú Apple.
112
Capítulo 8. Configuración de los clientes “enmascarados”
Si configuró su cortafuegos para que sea un servidor DHCP, siga este procedimiento tal cual, en caso contrario
vaya a la próxima sección.
113
Capítulo 8. Configuración de los clientes “enmascarados”
En el diálogo que aparece complete los campos como se muestra a partir de aquí:
114
Capítulo 8. Configuración de los clientes “enmascarados”
8.7.2. MacTCP
115
Capítulo 8. Configuración de los clientes “enmascarados”
116
Capı́tulo 9. Monitoreando el cortafuegos
Echaremos un vistazo a las herramientas de monitoreo disponibles para su sistema cortafuegos: gráficas de
utilización de la red y del sistema y la herramienta más potente a la hora de auditar un sistema: los registros
(logs) del sistema.
117
Capítulo 9. Monitoreando el cortafuegos
Los dos gráficos que se muestran aquí le informan acerca de la carga de su sistema. Son indicadores buenos de
cuan bien se está desempeñando su sistema con la carga actual y se pueden utilizar para soportar decisiones
sobre la actualización de CPU/RAM.
• avgload: representa la carga promedio de la CPU en las últimas 24 horas. La unidad utilizada indica apro-
ximadamente la cantidad de procesos que están intentando acceder simultáneamente a la CPU. Una carga
normal debería permanecer por debajo de 2. Si la carga está entre 2 y 5 su sistema está bastante ocupado.
Por encima de 6, debería considerar actualizar su CPU.
• memusage: representa el uso de la memoria RAM principal (en Megabytes) Se utilizan colores diferentes
para dar informaciones más precisas acerca de la forma en que se utiliza la memoria (RAM utilizada en
negro, RAM libre en verde, Swap - intercambio - en rojo, y caché en amarillo)
Predeterminadamente se muestra una gráfica diaria. Si hace clic sobre el icono a la izquierda de la
gráfica se mostrarán las gráficas diaria, semanal, mensual y anual todas en una única página. Esto puede
resultar útil para planificar la utilización del sistema. Haga clic sobre "Anterior" para volver a la gráfica diaria.
Para actualizar las gráficas haga clic sobre el botón "Refrescar".
118
Capítulo 9. Monitoreando el cortafuegos
Aquí encontrará gráficas del uso de la CPU con escalas de tiempo diferentes.
Se muestra la carga promedio de la CPU gráficamente por Día, Semana, Mes y Año todo en una sola página.
La unidad utilizada indica aproximadamente la cantidad de procesos que están intentando acceder simultá-
neamente a la CPU. Los valores normales están por debajo de 2. Los valores por encima de 6 indican que
debería considerar actualizar su CPU.
Haga clic sobre el botón "Refrescar" para actualizar las gráficas.
Haga clic sobre para volver a la sección Utilización del sistema.
Si hace clic sobre se lo llevará de vuelta a la página predeterminada (de inicio).
Aquí encontrará gráficas de la utilización de la memoria RAM con escalas temporales diferentes.
Se muestra el uso de la memoria RAM (física) gráficamente por Día, Semana, Mes y Año todo en una misma
página. Se utilizan colores diferentes para brindar una información más precisa acerca de la forma en la cual
se está utilizando la memoria (RAM usada en negro, RAM libre en verde, Swap - intercambio - en rojo, y caché
en amarillo)
Haga clic sobre el botón "Refrescar" para actualizar las gráficas.
Haga clic sobre para volver a la sección Utilización del sistema.
Si hace clic sobre se lo llevará de vuelta a la página predeterminada (de inicio)
119
Capítulo 9. Monitoreando el cortafuegos
Las gráficas que se muestran aquí le informan acerca del tráfico de red entrante/saliente sobre sus interfaces.
La primer página le muestra el tráfico para todas las interfaces durante la última hora (de manera predeter-
minada) Las unidades utilizadas se ajustarán según el tráfico en cada interfaz, de forma tal que Usted puede
tener al tráfico expresado en bytes/seg., Kbytes/seg., Mbytes/seg., etc.
En la parte superior de la página tiene una lista de las escalas de tiempo disponibles para las gráficas: Horaria,
Diaria, Semanal, Mensual y Anual. Para cambiar la escala de tiempo, simplemente haga clic sobre el vínculo
correspondiente.
Cada gráfica también le dice el tráfico promedio y máximo entrante/saliente para las interfaces de red. El
tráfico entrante se representa en verde y el saliente en gris oscuro.
Si hace clic sobre el icono a la derecha de cada gráfica (disponible sólo en el modo Horaria) será
llevado a las estadísticas de tráfico sobre la interfaz correspondiente.
Para actualizar las gráficas haga clic sobre el botón "Refrescar".
Por ejemplo, Usted podría utilizar las gráficas que se muestran arriba para planificar los horarios de conexión
y el ancho de banda de su red.
120
Capítulo 9. Monitoreando el cortafuegos
9.2. Registros
Los registros del sistema son una herramienta muy potente para auditar y analizar el desempeño del sistema.
Por supuesto, alguien (el administrador del sistema) los debe leer para que sean realmente útiles. Se registran
todos los eventos que ocurren en su sistema cortafuegos; puede acceder a los registros bajo la sub-sección
Registros.
La tabla muestra todos los mensajes del sistema que se registran, por ejemplo: contraseñas fallidas/aceptadas
para sshd, actualizaciones de NTP, ejecuciones de los scripts de mantenimiento del sistema, etc.
Las columnas de las tablas representan, respectivamente: en qué fecha y a qué hora; qué proceso; y qué mensaje
fue generado para cada evento registrado.
Haga clic sobre "Refrescar" para obtener las entradas más recientes.
121
Capítulo 9. Monitoreando el cortafuegos
El elemento Autenticación le permite echar un vistazo al registro de autenticación (relacionado con la seguri-
dad) de su sistema.
La tabla describe los eventos registrados que están relacionados con la autenticación, por ejemplo, los cambios
de modo de archivo a los archivo de registro, los servicios que se arrancan/detienen, los intentos de conexión
fallidos en la consola y por medio de ssh, etc. Los servicios típicos para este tipo de mensajes son:
122
Capítulo 9. Monitoreando el cortafuegos
El elemento Cortafuegos le permite echar un vistazo a los registros de filtrado de paquetes para su cortafuegos.
Aquí encontrará reportes para todas las cadenas del cortafuegos. Se pueden generar los reportes de acuerdo a
criterios diferentes:
• todo y resolución de nombres: muestra todos los detalles acerca de los paquetes, a saber: número de paquete;
inicio; lapso; protocolo; IP fuente, nombre del host y puerto; IP destino, nombre del host y puerto y las
opciones del paquete.
• IP destino: muestra sólo los detalles siguientes acerca de los paquetes: número de paquete; inicio; lapso e IP
destino.
• IP fuente: muestra sólo los detalles siguientes acerca de los paquetes: número de paquete; inicio; lapso e IP
fuente.
• IP fuente y destino: muestra sólo los detalles siguientes acerca de los paquetes: número de paquete; inicio;
lapso; IP fuente e IP destino.
• con puerto de destino: muestra sólo los detalles siguientes acerca de los paquetes: número de paquete; inicio;
lapso; IP fuente; IP y puerto de destino.
• con puerto fuente: muestra sólo los detalles siguientes acerca de los paquetes: número de paquete; inicio;
lapso; IP y puerto fuente; IP destino.
• con puertos fuente y destino: muestra sólo los detalles siguientes acerca de los paquetes: número de paquete;
inicio; lapso; IP y puerto fuente e IP y puerto de destino.
• con opciones TCP: muestra los mismos detalles que "todo y resolución de nombres" excepto los nombres de
host fuente y destino.
123
Capítulo 9. Monitoreando el cortafuegos
Si hace clic sobre a la izquierda de cada uno de los elementos de arriba le mostrará la ventana de
registro del cortafuegos correspondiente, por ejemplo:
Generated Mon Apr 15 11:16:09 ART 2002 by root.
5 of 456 items in the file "/var/log/messages" are packet logs, one has unique characteristics.
First packet log entry: Apr 15 10:53:26; last: Apr 15 10:53:26.
All entries where logged by the same host: "e500".
All entries are from the same chain: "Shorewall:fw2all:REJECT:".
All entries have the same target: "-".
All entries are from the same interface: "".
Only entries with a count larger than 2 are shown.
Luego del mensaje de arriba sigue una tabla con los detalles de los paquetes.
Haga clic sobre "Refrescar" para obtener las entradas más recientes.
El elemento Prelude IDS le permite echar un vistazo a los registros de Prelude IDS (relacionados con la segu-
ridad) para su sistema.
El Sistema de detección de intrusiones (IDS) Prelude reporta paquetes "anormales" (no esperados, sospecho-
sos) que recibe su sistema y que están dirigidos a su red. También intenta evitar recibir ese tipo de ataques.
Si Prelude IDS no está activo en su sistema el reporte muestra algo como lo siguiente:
Reportes
vacı́o Prelude IDS todavı́a no fue activado
Si Prelude IDS está activo pero no se han intentado ataques sobre su sistema, el reporte muestra algo como lo
siguiente:
Reportes
vacı́o ¡No hay registro disponible!
124
Capítulo 9. Monitoreando el cortafuegos
Cuando estén disponibles los registros, puede hacer clic sobre para mostrar la ventana de resumen
de registros de Prelude IDS.
Haga clic sobre "Refrescar" para obtener las entradas más recientes.
El elemento Snort IDS le permite echar un vistazo a los registros de Snort IDS (relacionados con la seguridad)
para su sistema.
El Sistema de detección de intrusiones (IDS) Snort analiza el tráfico entrante en su red buscando coincidencias
contra reglas predefinidas y realiza acciones basadas en dichas reglas.
Si Snort IDS no está activo en su sistema el reporte muestra algo como lo siguiente:
Reportes
vacı́o Snort IDS todavı́a no fue activado
Si Snort IDS está activo pero no se han intentado ataques sobre su sistema, el reporte muestra algo como lo
siguiente:
Reportes
vacı́o ¡No hay registro disponible!
Cuando estén disponibles los registros, puede hacer clic sobre para mostrar la ventana de resumen
de registros de Snort IDS.
Haga clic sobre "Refrescar" para obtener las entradas más recientes.
Debajo encontrará un ejemplo de reporte de Snort .
125
Capítulo 9. Monitoreando el cortafuegos
El elemento Proxy web le permite echar un vistazo a los registros del servidor proxy Squid para su sistema.
Squid es un servidor proxy de almacenamiento intermedio de alto rendimiento para los clientes web que
soporta objetos de datos FTP, gopher y HTTP. También recuerda las búsquedas DNS. Esto hace que el uso de
su ancho de banda de Internet sea más eficiente a la vez que brinda clientes web más "ágiles".
En esta página encontrará información de acceso, uso de recursos (memoria, espacio en disco) y errores de
configuración para el servidor web proxy Squid.
Si el servidor proxy Squid no está activo en su sistema el reporte muestra algo como lo siguiente:
Reportes
126
Capítulo 9. Monitoreando el cortafuegos
Si el servidor proxy está activo, pero no se registraron eventos, el reporte muestra algo como:
Lista vacı́a...
Cuando estén disponibles los registros, puede hacer clic sobre para mostrar la ventana de resumen
de registros del Servidor Proxy.
Haga clic sobre "Refrescar" para obtener las entradas más recientes.
El elemento DHCP le permite echar un vistazo al registro del servidor DHCP para su sistema.
Aquí se muestran los mensajes del servidor DHCP, asignaciones de IP a las interfaces, paquetes DHCP de los
clientes, y mensajes del tipo.
Si el servidor DHCP no está activo en su sistema, el reporte muestra algo como lo siguiente:
Reportes
vacı́o Todavı́a no se ha activado el servidor DHCP
Si el servidor DHCP está activo en su sistema, entonces si hace un clic sobre se le mostrará una tabla
con la información de la sub-red DHCP. La tabla tiene las columnas siguientes: Ubicación, Sub-red, Máscara
de sub-red, rango de IP, Router, IP definidas, IP utilizadas e IP libres.
Haga clic sobre "Refrescar" para obtener las entradas más recientes.
127
Capítulo 9. Monitoreando el cortafuegos
128
Capı́tulo 10. Herramientas de administración
Echaremos un vistazo a las herramientas de administración disponibles para su sistema cortafuegos: Consola
remota, copia de respaldo/restauración de la configuración del cortafuegos y actualizaciones del software.
Cuando hace clic sobre el vínculo Herramientas se le presenta la pantalla que se muestra en Figura 10-1 donde
tiene un botón Apagar el cortafuegos. Si hace clic sobre ese botón el sistema cortafuegos se apagará, por lo
tanto todos los usuarios que dependen del mismo se quedarán, por ejemplo, sin conexión a la Internet. Utilice
este botón con sumo cuidado.
129
Capítulo 10. Herramientas de administración
Si hizo clic sobre la sub-sección Conexión remota en la sección Herramientas se le presentará una ventana que
está ejecutando una consola SSH que le permitirá realizar algunas acciones como si Usted estuviera sentado
en la consola del sistema cortafuegos.
En el prompt, ingrese "admin" como login (sin las comillas) y luego la contraseña de admin:
firewall login:admin
Luego de una conexión exitosa, se le mostrará el shell y podrá realizar tareas administrativas como si estuviera
sentado directamente frente a la máquina cortafuegos.
Finalmente, note que si Usted tiene un cliente SSH instalado en su máquina, puede conectarse al sistema
cortafuegos directamente y pasar por alto la interfaz web. Por favor, tenga presente que todavía es válida la
advertencia anterior en esta situación.
130
Capítulo 10. Herramientas de administración
Esta característica hace una copia de respaldo de toda la configuración de su sistema cortafuegos permitién-
dole recuperarlo con rapidez en caso de una falla mayor del sistema o volver a configurar con facilidad un
sistema cortafuegos nuevo basado en la configuración que se respaldó.
Para crear una copia de respaldo de su archivo de configuración, haga clic sobre el botón "Respaldar". Esto
realizará el respaldo y lo llevará a una página donde lo puede obtener. Por favor, consulte la ayuda de dicha
página para las instrucciones sobre como obtener la copia de respaldo.
Para restaurar la configuración necesita "Elegir el archivo de configuración" haciendo clic sobre el botón "Exa-
minar...". Aparece una ventana que le permite seleccionar el archivo que contiene la configuración respaldada.
Si siguió el procedimiento que se describe en la página de ayuda de la copia de respaldo, este debería ser
"/mnt/floppy/ConfigurationBackup" (sin las comillas). Si no guardó sus copias de respaldo en disquetes,
entonces es aconsejable que las copie a disquete regularmente y almacene los disquetes en un lugar seguro.
Cuando esté listo, haga clic sobre el botón "Subir". Se lo llevará a una página de confirmación para apli-
car/modificar/cancelar los cambios. Por favor, consulte la página de ayuda correspondiente para más deta-
lles.
Debajo tiene una pantalla de ejemplo de la sección de Restauración completada con el nombre de archivo del
archivo de configuración respaldado a restaurar en su sistema cortafuegos.
131
Capítulo 10. Herramientas de administración
Una vez que hizo clic sobre el botón Enviar, se le presenta una pantalla de confirmación, como la que se
muestra en Figura 10-3; haga clic sobre el botón Aplicar para aplicar la configuración a su sistema cortafuegos.
132
Capítulo 10. Herramientas de administración
Luego de haber hecho clic sobre el botón "Respaldar" en la página anterior se le proporciona un vínculo (de-
nominado "Archivo de respaldo") para que pueda recuperar la configuración respaldada. Por favor, proceda
de la manera siguiente (se asume que desea almacenar su configuración en un disquete):
Este asistente le permite realizar actualizaciones de todos los paquetes instalados en su sistema. Por razones
de seguridad, es esencial que Usted verifique regularmente si existen actualizaciones del software.
Esto muestra el sitio de réplica seleccionado en este momento para obtener las actualizaciones de software.
• Sitio de réplica registrado: esta opción le dará acceso al sitio de actualizaciondes dedicado a MandrakeSecu-
rity. Contiene actualizaciones para la distribución Linux regular en la que se basa MandrakeSecurity, pero
también paquetes específicos de MandrakeSecurity, así como también módulos opcionales.
• Sitio de réplica oficial: en la página siguiente se le brinda una lista de todos los sitios de réplica oficiales de
Mandrake Linux. Es altamente recomendable que elija uno de estos como sitio de réplica.
• Sitio de réplica personal: en la página siguiente podrá ingresar manualmente la URL del sitio que contiene
las actualizaciones para su sistema.
133
Capítulo 10. Herramientas de administración
Realice su selección y haga clic sobre para continuar con el paso siguiente. Por favor, consulte la
página de ayuda del paso siguiente para más detalles.
Si hace clic sobre volverá a la página predeterminada (de inicio) cancelando este asistente.
134
Temas de redes y seguridad
Hasta ahora, en este manual ha estado leyendo información muy práctica. Usted debería poder configurar su
servidor de manera eficiente y estar conforme con el mismo.
Sin embargo, todo eso es sólo una pequeña parte de las posibilidades de su sistema Mandrake Linux. Pa-
ra poder comprenderlo por completo, elegimos añadir dos capítulos para completar su conocimiento sobre
Mandrake Linux:
• Seguridad bajo GNU/Linux, página 137: este capítulo es de lectura obligatoria para cualquier administrador
de sistemas. Incluso si Usted puede hacer que su sistema Mandrake Linux sea bastante seguro con las
herramientas predeterminadas, sólo se puede alcanzar una seguridad eficiente a través de la administración
activa, cuidando tanto la seguridad global física como lógica del sistema;
• Generalidades sobre redes, página 177: se supone que un servidor brinda servicios a una red. Este manual hu-
biera estado incompleto sin un capítulo dedicado a las redes. Se trata la configuración de la red propiamente
dicha así como los diferentes protocolos.
136
Capı́tulo 11. Seguridad bajo GNU/Linux
Este documento es una revisión general de los temas de seguridad con los que se enfrenta el administrador de
sistemas GNU/Linux . El mismo cubre la filosofía general de la seguridad y una cantidad específica de ejemplos
sobre como asegurar mejor a su sistema GNU/Linux contra los intrusos. También se incluyen referencias a
materiales y programas relacionados con la seguridad.
11.1. Preámbulo
Este capítulo está basado en un COMO por Kevin Fenzi y Dave Wreski cuyo original se encuentra en el Proyecto
de documentación de Linux (http://www.tldp.org)
11.1.2. Introducción
Este capítulo cubre algunos temas que afectan la seguridad en GNU/Linux . Se discute la filosofía general y los
recursos nacidos de la red.
Muchos otros documentos COMO se solapan con los temas de seguridad y se ha hecho referencia a dichos
documentos donde era apropiado.
No es la intención de este capítulo ser un documento actualizado de las explotaciones de la seguridad. Sucede
un gran número de explotaciones nuevas todo el tiempo. Este capítulo le dirá dónde debe buscar información
actualizada al respecto, y le brindará algunos métodos generales para evitar que dichas explotaciones ocurran.
11.2. Generalidades
Este capítulo intentará explicar algunos procedimientos y software utilizados comúnmente para ayudar a su
sistema GNU/Linux a ser más seguro. Es importante discutir primero algunos de los conceptos básicos, y crear
los fundamentos de la seguridad antes de comenzar.
137
Capítulo 11. Seguridad bajo GNU/Linux
• Riesgo es la posibilidad de que un intruso pueda tener éxito en el intento de acceder a su computadora.
¿Puede un intruso leer o escribir archivos, o ejecutar programas que puedan causar daño? ¿Puede borrar
datos críticos? ¿Puede evitar que Usted o su compañía hagan trabajos importantes? No lo olvide: alguien
que gane acceso a su cuenta o a su sistema, también puede hacerse pasar por Usted.
Adicionalmente, el hecho de tener una cuenta insegura en su sistema puede resultar en que toda su red esté
comprometida. Si permite que un solo usuario ingrese usando un archivo .rhosts, o que use un servicio
inseguro, tal como tftp, se arriesga a que un intruso ponga “un pie en la puerta”. Una vez que el intruso
tiene una cuenta de usuario en su sistema, o en el sistema de otra persona, puede usar dicha cuenta para
ganar acceso a otro sistema, u otra cuenta.
• Amenaza es típicamente de alguien con motivación para ganar acceso no autorizado a su red o computa-
dora. Usted debe decidir a quienes confía el acceso a su sistema, y qué amenazas pueden presentar.
Hay varios tipos de intrusos, y es útil tener presentes las diferentes características de los mismos cuando
Usted está asegurando sus sistemas.
• El Curioso – Este tipo de intruso está interesado básicamente en encontrar qué tipo de sistema y qué tipo
de datos tiene Usted.
• El Malicioso – Este tipo de intruso tiene como objetivo ya sea hacer caer a sus sistemas, o modificar su
página web, u obligarlo de alguna otra manera a gastar tiempo y dinero recuperándose del daño que él
le ha causado.
• El Intruso de Perfil Alto – Este tipo de intruso está intentando usar a su sistema para ganar popularidad
e infamia. Puede ser que use su sistema de perfil alto para hacer alarde de sus habilidades.
• La Competencia – Este tipo de intruso está interesado en los datos que Usted tiene en su sistema. Podría
ser alguien que piensa que Usted tiene algo que lo pueda beneficiar, ya sea financieramente o de alguna
otra forma.
• Los Ladrones – Este tipo de intruso está interesado en plantar campamento en su sistema y usar los
recursos del mismo para sus propósitos. Típicamente él correrá servidores de chat o IRC, archivos de
sitios porno, o incluso servidores DNS.
138
Capítulo 11. Seguridad bajo GNU/Linux
• El Saltador de Escalones – Este tipo de intruso sólo está interesado en su sistema para usarlo como medio
para entrar en otros sistemas. Si su sistema está bien conectado o es una pasarela a una cantidad de hosts
internos, bien puede ver este a este tipo de intruso intentado comprometer a su sistema.
• Vulnerabilidad describe cuan bien protegida de otras redes está su computadora, y el potencial de que
alguien gane acceso no autorizado.
¿Qué es lo que está en juego si alguien irrumpe en su sistema? Por supuesto que los temores de un usuario
hogareño de PPP dinámico serán diferentes a los de una compañía que conecta sus máquinas a la Internet,
u otra red grande.
¿Cuanto tiempo tomaría recuperar/recrear cualquier dato (o datos) que se haya(n) perdido? Una inversión
en tiempo ahora puede ahorrar diez veces más tiempo luego si tiene que recrear los datos que se perdieron.
¿Ha verificado últimamente su estrategia de copia de respaldo, y verificado sus datos?
139
Capítulo 11. Seguridad bajo GNU/Linux
• manténgase enterado de lo que ocurre en su sistema. Verifique los registros del sistema como /var/log/
messages y mantenga un ojo sobre su sistema, y
• mantenga su sistema actualizado asegurándose que tiene instaladas las versiones más recientes del software
y las ha actualizado en base a las advertencias de seguridad. El sólo hecho de hacer esto ayudará a hacer a
su sistema muchísimo más seguro.
140
Capítulo 11. Seguridad bajo GNU/Linux
141
Capítulo 11. Seguridad bajo GNU/Linux
He probado un BIOS Award y AWARD_PW funcionó. Estas contraseñas están disponibles con bastante facilidad
en los sitios web de los fabricantes y en astalavista (http://astalavista.box.sk) y por lo tanto no se puede
considerar que la contraseña del BIOS es una protección adecuada frente a un atacante informado.
Muchos BIOS de x86 también le permitirán especificar varias otras configuraciones buenas de seguridad.
Verifique el manual de su BIOS o mírelo la próxima vez que arranque. Por ejemplo, algunos BIOS no permiten
arrancar desde la disquetera y algunos solicitan contraseñas para acceder a algunas de las características del
BIOS .
1.
1. Nota del traductor: No traduje el ejemplo, ya que es muy probable que Usted lo use en inglés.
142
Capítulo 11. Seguridad bajo GNU/Linux
Una vez más, si tiene una máquina servidor, y configura una contra-
seña de arranque, su máquina no arrancará sin su asistencia. Tenga
presente que necesitará allegarse a ella y proporcionar la contraseña
en caso de un corte de energı́a. ;(
y, por supuesto, generar un archivo de configuración nuevo /boot/grub/menu2.lst en el cual Usted mueve
las entradas inseguras quitadas previamente de /boot/grub/menu.lst.
>De la página Info de grub:
- Comando: password contrase~
na
nuevo-archivo-de-configuración Deshabilitar todo el control de edición
interactivo (el editor de de entradas del menú y la lı́nea de
comandos). Si se ingresa la contrase~na PASSWD, el mismo carga
NEW-CONFIG-FILE como un archivo de configuración nuevo y vuelve a
arrancar a GRUB Stage 2.
restricted
La opción por imagen ‘restricted’ (ver debajo)
se aplica a todas las imágenes.
password=contrase~
na
Protege la imagen con una contrase~
na.
restricted
143
Capítulo 11. Seguridad bajo GNU/Linux
restricted
Sólo se necesita una contrase~
na para arrancar la imagen
especificada en /etc/silo.conf si se especifican parámetros en
la lı́nea de comandos o si no se especifica imagen en absoluto en
el archivo de configuración (ej: carga arbitraria de archivo).
144
Capítulo 11. Seguridad bajo GNU/Linux
En Mantenga registro de los datos de contabilidad de su sistema, página 169 discutiremos los datos del registro del
sistema.
145
Capítulo 11. Seguridad bajo GNU/Linux
A continuación tiene varias reglas generales buenas cuando le permite a otras personas acceso legítimo a su
máquina GNU/Linux :
Muchas cuentas de usuario locales que se usan cuando se compromete a la seguridad no se han usado en
meses o en años. Dado que nadie las usa, estas proporcionan el vehículo de ataque ideal.
• Cuando haga algún comando complejo, primero intente correrlo de manera no destructiva... especialmente
los comandos que usan englobamiento: por ej., si Usted desea hacer rm -f pepe*.bak, primero haga ls
pepe*.bak y asegúrese de borrar los archivos que Usted cree que va a borrar. Algunas veces también sirve
usar echo en vez de comandos destructivos.
• Sólo vuélvase root para hacer tareas específicas simples. Si se encuentra intentando averiguar como hacer
algo, vuelva a un shell de usuario no privilegiado hasta estar seguro que eso debe hacerse como root.
• La ruta de comandos para el usuario root es muy importante. La ruta de comandos (es decir, la variable
de entorno PATH) especifica los directorios en los cuales el shell busca programas. Intente limitar la ruta
de comandos para el usuario root tanto como sea posible, y nunca incluya . (que significa “el directorio
corriente”) en el PATH de root. Además, nunca tenga directorios en los que se pueda escribir en su ruta de
búsqueda, ya que esto permite a los atacantes poner binarios nuevos en su ruta de búsqueda, permitiéndoles
a estos ejecutar como root la próxima vez que Usted ejecute ese comando.
• Nunca utilice el conjunto de herramientas rlogin/rsh/rexec (denominadas los “utilitarios-r”) como root.
Estos están sujetos a muchas clases de ataques, y son especialmente peligrosos cuando se ejecutan como
root. Nunca cree un archivo .rhosts para root.
• El archivo /etc/securetty contiene una lista de las terminales desde las cuales se puede conectar root.
Predeterminadamente este sólo está configurado a las consolas virtuales locales (ttys) Tenga mucho cuidado
en agregar algo más a este archivo. Usted debería poder conectarse remotamente con su cuenta de usuario
no privilegiado y luego hacer su si Usted lo necesita (con suerte sobre ssh u otro canal cifrado), por lo que
no hay necesidad de tener que poder conectarse directamente como root.
• Siempre sea lento y deliberado cuando ejecute como root. Sus acciones pueden afectar un montón de cosas
¡Piense antes de teclear!
Si necesita de forma absolutamente positiva permitirle a alguien (con suerte, alguien de mucha confianza)
tener acceso como root a su máquina, hay una cantidad de herramientas que pueden ayudar. sudo le permite
a los usuarios usar su clave para acceder como root a un conjunto de comandos limitados. Por ejemplo, esto
le permitirá dejar que un usuario pueda expulsar y montar medios removibles en su sistema GNU/Linux , pero
no tenga otros privilegios de root. sudo también mantiene un registro de todos los intentos satisfactorios y no
satisfactorios de hacer sudo, permitiéndole seguirle la pista a quienes usaron cuales comandos para hacer qué
146
Capítulo 11. Seguridad bajo GNU/Linux
cosas. Por este motivo, sudo funciona bien incluso en lugares donde varias personas tienen acceso como root,
porque le ayuda a seguirle la pista a los cambios hechos.
Aunque sudo se puede usar para dar privilegios específicos a usuarios específicos, para tareas específicas, tiene
varias contra. Sólo debería usarse para un conjunto limitado de tareas, como reiniciar un servidor, o agregar
usuarios nuevos. Cualquier programa que ofrezca un escape al shell dará acceso de root a un usuario que
lo invoque a través de sudo. Por ejemplo, esto incluye a la mayoría de los editores. También, un programa tan
inocuo como /bin/cat se puede usar para sobreescribir archivos, lo cual permitiría explotar a root. Considere
a sudo como un medio para la contabilidad, y no espere que reemplace al usuario root y todavía sea seguro.
• No debería haber razón alguna para que los directorios personales de los usuarios permitan que se ejecuten
programas SUID/SGID desde los mismos. Use la opción nosuid en /etc/fstab para las particiones en las
que pueda escribir otro que no sea root. También puede querer usar nodev y noexec en las particiones de
los directorios personales de los usuarios, así como también /var, prohibiendo de esta forma la ejecución de
programas, y la creación de dispositivos de bloque o caracter, los cuales, de todas formas, nunca deberían
ser necesarios.
• Si está exportando sistemas de archivos usando NFS, debe asegurarse de configurar /etc/exports con el
acceso lo más restrictivo posible, Esto significa no usar comodines, no permitir acceso de escritura como
root, y exportar como sólo de lectura siempre que se pueda.
• Configure la umask de creación de archivos de sus usuarios para ser lo más restrictiva posible. Consulte
Configuraciones de la umask, página 148.
• Si está montando sistemas de archivos usando un sistema de archivos de red tal como NFS, debe asegurarse
de configurar /etc/exports con restricciones adecuadas. Típicamente, es deseable el uso de nodev, nosuid,
y tal vez noexec.
• Configure los límites del sistema de archivos en vez de permitir que unlimited sea la configuración prede-
terminada. Usted puede controlar los límites por usuario usando el módulo PAM de limitador de recursos y
/etc/pam.d/limits.conf. Por ejemplo, los límites para el grupo usuarios podrían parecerse a los siguien-
tes:
@users hard core 0
@users hard nproc 50
@users hard rss 5000
Esto dice de prohibir la creación de archivos core, restringir la cantidad de procesos a 50, y restringir el uso
de memoria por usuario a 5MB.
También puede utilizar el archivo de configuración /etc/login.defs para ajustar los mismos límites.
• Los archivos /var/log/wtmp y /var/run/utmp contienen los registros de conexión para todos los usuarios
en su sistema. Se debe mantener su integridad porque ellos pueden usarse para determinar cuando y des-
de donde ha entrado a su sistema un usuario (o intruso potencial) Estos archivos también deberían tener
permisos 644, sin afectar la operación normal del sistema.
• Se puede utilizar el bit de inmutable para evitar el borrado o la sobre-escritura accidental de un archivo que
se debe proteger. También evita que alguien cree un vínculo simbólico al archivo (tales vínculos simbólicos
han sido la fuente de ataques que incluían borrar /etc/passwd o /etc/shadow) Vea la página Man de chattr
para más información sobre el bit inmutable.
• Los archivos suid y SGID en su sistema son un riesgo de seguridad potencial, y deberían ser monitoreados
de cerca. Debido a que estos programas garantizan privilegios especiales al usuario que los está ejecutando,
es necesario asegurarse que no se instalan programas inseguros. Un truco favorito de los crackers es explotar
los programas SUID-root, luego dejar un programa SUID como la puerta trasera para ingresar la próxima
vez, incluso si el hueco original está cerrado.
147
Capítulo 11. Seguridad bajo GNU/Linux
Encuentre todos los programas SUID/SGID en su sistema, y mantenga un registro de cuales son, para
estar alerta de cualquier cambio que pudiera indicar a un intruso potencial. Use el comando siguiente para
encontrar todos los programas SUID/SGID en su sistema:
root# find / -type f \( -perm -04000 -o -perm -02000 \)
Puede quitar los permisos suid o SGID de un programa sospechoso con chmod, y luego restaurarlos si Usted
siente que esto es absolutamente necesario.
• Los archivos que pueden escribir todo el mundo, particularmente los archivos del sistema, pueden ser un
hueco de seguridad si un cracker gana acceso a su sistema y los modifica. Adicionalmente, los directorios
que pueden escribir todo el mundo son peligrosos, ya que estos permiten a un cracker agregar y borrar
archivos a su gusto. Para localizar a todos los archivos que pueden escribir todo el mundo en su sistema,
use el comando siguiente:
root# find / -perm -2 ! -type l -ls
y asegúrese de saber por qué estos archivos se pueden escribir. En el curso normal de operación, varios
archivos se podrán escribir por todo el mundo, incluyendo algunos de /dev, y vínculos simbólicos, es por
esto el ! -type l lo que excluye estos del comando find previo.
• Los archivos sin dueño también pueden ser una indicación de que un intruso ha accedido a su sistema.
Puede ubicar los archivos de su sistema que no tienen dueño, o que no pertenecen a grupo alguno con el
comando:
root# find / -nouser -o -nogroup -print
• Encontrar los archivos .rhosts debería ser una parte de sus tareas regulares de administración del sistema,
debido a que no deberían permitirse dichos archivos en su sistema. Recuerde, un cracker, sólo necesita
una cuenta insegura para ganar acceso potencial a toda su red. Usted puede localizar a todos los archivos
.rhosts en su sistema con el comando siguiente:
root# find /home -name .rhosts -print
• Finalmente, antes de cambiar los permisos sobre cualquier archivo de sistema, debe asegurarse de entender
lo que está haciendo. Nunca cambie los permisos sobre un archivo porque esto parece la forma fácil de hacer
que funcionen las cosas. Siempre determine por qué el archivo tiene esos permisos antes de cambiarlos.
Asegúrese de hacer la umask de root 077, lo cual deshabilitará los permisos de lectura, escritura y ejecución
para los otros usuarios, a menos que se cambien explícitamente usando chmod. En este caso, los directorios
148
Capítulo 11. Seguridad bajo GNU/Linux
nuevos creados tendrían permisos 744, obtenidos de restar 033 de 777. Los archivos nuevos creados usando la
umask 033 tendrían permisos 644.
Escritura:
Ejecución:
149
Capítulo 11. Seguridad bajo GNU/Linux
Las líneas siguientes son ejemplos de los conjuntos mínimos de permisos que se necesitan para realizar el
acceso descripto. Usted puede querer dar más permisos que los que se listan aquí, pero esto debería describir
qué es lo que hacen estos permisos mínimos sobre los archivos:
-r-------- Permite acceso de lectura al archivo por el due~ no
--w------- Permite al due~ no modificar o borrar el archivo (Note que cualquiera con permiso de escritura en el di-
rectorio en el cual se encuentra el archivo lo puede sobreescribir y borrarlo)
---x------ El due~ no puede ejecutar este programa, pero no scripts del shell que todavı́a necesitan permisos de lectura
---s------ Ejecutará con ID de Usuario efectivo = al due~no
--------s- Ejecutará con ID de Grupo efectiva = al grupo
-rw------T No se actualiza la "última hora de modificación". Generalmente usado para los archivos de swap .
---t------ Sin efecto. (Antes era el bit pegajoso)
Ejemplo de directorio:
drwxr-xr-x 3 reina ususarios 512 Sep 19 13:47 .public_html/
1er bit - ¿directorio? (sı́, contiene muchos archivos)
2do bit - ¿lectura por due~no? (sı́, por reina)
3er bit - ¿escritura por due~ no? (sı́, por reina)
4to bit - ¿ejecución por due~no? (sı́, por reina)
5to bit - ¿lectura por grupo? (sı́, por usuarios)
6to bit - ¿escritura por grupo? (no)
7mo bit - ¿ejecución por grupo? (sı́, por usuarios)
8vo bit - ¿lectura por todos? (sı́, por todos)
9no bit - ¿escritura por todos? (no)
10mo bit - ¿ejecución por todos? (sı́, por todos)
Las líneas siguientes son ejemplos de los conjuntos mínimos de permisos que se necesitan para realizar el
acceso descripto. Usted puede querer dar más permisos que los que se listan, pero esto debería describir qué
es lo que hacen estos permisos mínimos sobre los directorios:
dr-------- Se puede listar el contenido, pero no se pueden leer los atributos de los archivos
150
Capítulo 11. Seguridad bajo GNU/Linux
Los archivos de configuración del sistema (usualmente en /etc) por lo general tienen modo 640 (-rw-r---
--), y su dueño es root. Dependiendo de los requisitos de seguridad de su sitio, Usted podría ajustar esto.
Nunca deje que un grupo o cualquiera pueda escribir algún archivo del sistema. Sólo root debería poder leer
algunos archivos de configuración, incluyendo /etc/shadow, y los directorios en /etc al menos no deberían
ser accesibles por otros.
le enviará un reporte por correo electrónico cada mañana a las 5:15 hs.
Los verificadores de integridad pueden ser un regalo divino para detectar a los intrusos antes de que Usted
se de cuenta de que están. Debido a que, en el sistema promedio, cambian un montón de archivos, tiene que
tener cuidado para poder diferenciar entre la actividad del cracker y la suya propia.
Puede encontrar la versión sin soporte disponible libremente, de Tripwire en TripWire (http://www.
tripwire.org) sin cargo. Se pueden comprar los manuales y soporte.
Aide se puede encontrar en el sitio web de Aide (http://www.cs.tut.fi/~rammer/aide.html).
Osiris se puede encontrar en el sitio web de Osiris (http://osiris.shmoo.com/).
151
Capítulo 11. Seguridad bajo GNU/Linux
Una de las características de seguridad más importantes en uso hoy día son las contraseñas. Es importante que
tanto Usted como sus usuarios tengan contraseñas seguras, imposibles de adivinar. Su distribución Mandrake
Linux incluye al programa passwd que no le permite configurar una contraseña fácil de adivinar. Asegúrese
que su programa passwd está actualizado.
La discusión a fondo del cifrado está más allá del alcance de este capítulo, pero aquí se da una introducción.
El cifrado es muy útil, posiblemente incluso hasta necesario en este tiempo y época. Hay todo tipo de métodos
para cifrar los datos, cada uno con su conjunto de características propio.
Primariamente, la mayoría de los sistemas UNIX (y GNU/Linux no es una excepción) usan un algoritmo de
cifrado de una vía, denominado DES (Data Encryption Standard, Estándar de cifrado de datos) para cifrar sus
contraseñas. Luego, esta contraseña cifrada se almacena en /etc/shadow. Cuando Usted intenta conectarse,
la contraseña que ingresa se vuelve a cifrar y se compara con la entrada en el archivo que almacena sus
contraseñas. Si estas coinciden, debe ser la misma contraseña, y se le permite el acceso. Aunque DES es un
algoritmo de cifrado de dos vías (dadas las claves adecuadas, Usted puede codificar y luego decodificar un
mensaje), la variante que usan la mayoría de los sistemas UNIX es de una vía. Esto significa que no debería ser
posible invertir el cifrado para obtener la contraseña a partir del contenido de /etc/shadow.
Los ataques de fuerza bruta, tales como “Crack” o “John the Ripper” (consulte “Crack” y “John the Ripper”,
página 156) por lo general pueden adivinar las contraseñas a menos que su contraseña sea lo suficientemente
aleatoria. Los módulos PAM (ver abajo) le permiten usar una rutina de cifrado diferente para sus contraseñas
(MD5 o similares) Usted también puede usar Crack para su provecho. Considere correr Crack periódicamente
sobre su propia base de datos de contraseñas para encontrar contraseñas inseguras. Luego contacte al usuario
que tenga una de estas contraseñas, y dígale que la cambie.
Puede dirigirse a CERN (http://consult.cern.ch/writeup/security/security_3.html) para información
(en inglés) sobre como elegir una contraseña buena.
152
Capítulo 11. Seguridad bajo GNU/Linux
Hay varias ventajas tanto para la criptografía de clave pública como para la de clave privada, y puede leer
acerca de las mismas y sus diferencias en las preguntas formuladas frecuentemente sobre criptografía de RSA
(http://www.rsasecurity.com/rsalabs/faq/), (en inglés) listadas al final de esta sección.
PGP (Pretty Good Privacy, Privacidad bastante buena) está bien soportado en GNU/Linux . Se sabe que las ver-
siones 2.6.2 y 5.0 funcionan bien. Para un buen compendio sobre PGP y como usarlo, eche un vistazo a las
preguntas formuladas frecuentemente sobre PGP en faqs.org (http://www.faqs.org/faqs/pgp-faq/) (en in-
glés)
Debe asegurarse de usar la versión que se aplica a su país. Debido a las restricciones de exportación del
Gobierno de Estados Unidos, está prohibida la transferencia electrónica de cifrado fuerte fuera del país.
Los controles de exportación de EE.UU. ahora están administrados por EAR (Export Administration Regulations,
Regulaciones de la Administración de exportaciones) Ya no están gobernadas por ITAR.
También hay una guía paso a paso para configurar PGP en GNU/Linux disponible en LinuxFocus (http:
//mercury.chem.pitt.edu/~angel/LinuxFocus/English/November1997/article7.html). Fue escrita para
la versión internacional de PGP , pero es fácilmente adaptable a la versión para Estados Unidos. Puede ser
que Usted también necesite un parche para algunas de las últimas versiones de GNU/Linux ; el mismo está
disponible en MetaLab (ftp://metalab.unc.edu/pub/Linux/apps/crypto).
Hay un proyecto que está manteniendo una re-implementación libre de PGP con código abierto. GnuPG es un
reemplazo completo y libre para PGP . Debido a que no utiliza IDEA o RSA se puede utilizar sin restricción
alguna. GnuPG cumple con OpenPGP (http://www.faqs.org/rfcs/rfc2440.html). Consulte la página web
de GNU Privacy Guard (http://www.gnupg.org) para más información.
Se puede encontrar más información sobre criptografía en las preguntas formuladas frecuentemente sobre
criptografía de RSA (http://www.rsasecurity.com/rsalabs/faq/). Allí encontrará información sobre tér-
minos tales como “Diffie-Hellman”, “criptografía de clave pública”, “certificados digitales”, etc.
• SSL: - SSL, o Secure Sockets Layer (Capa de sockets segura), es un método de cifrado desarrollado por
Netscape para proporcionar seguridad en Internet. Soporta varios protocolos de cifrado diferentes, y pro-
vee autenticación de cliente y servidor. SSL opera en la capa de transporte, crea un canal seguro de da-
tos cifrados, y por lo tanto puede cifrar datos de muchos tipos de manera transparente. Esto se ve más
comúnmente cuando se va a un sitio seguro para ver un documento seguro en-línea con Communica-
tor , y sirve como la base para las comunicaciones seguras con Communicator , así como también co-
mo muchos otros cifrados de datos de Netscape Communications. Se puede encontrar más información
en OpenSSL.org (http://www.openssl.org) (en inglés) Un buen punto de partida para información so-
bre otras implementaciones de seguridad de Netscape y estos protocolos está disponible en Netscape
(http://home.netscape.com/info/security-doc.html). También vale la pena notar que el protocolo SSL
se puede utilizar para pasar muchos otros protocolos comunes, “envolviéndolos” para brindar seguridad.
Consulte el sitio web Quiltaholic (http://www.quiltaholic.com/rickk/sslwrap/)
• S-HTTP: - S-HTTP es otro protocolo que proporciona servicios de seguridad a través de Internet. Fue diseña-
do para proporcionar confidencialidad, autenticación, integridad, y no repudio [uno no puede ser tomado
por cualquier otra persona] a la vez que soporta mecanismos de administración de claves y algoritmos
criptográficos múltiples por medio de la negociación de opciones entre las partes involucradas en cada
transacción. S-HTTP está limitado al software específico que está implementándolo, y cifra cada mensaje
individualmente. [ De las preguntas formuladas frecuentemente sobre criptografía de RSA, página 138]
• S/MIME: - S/MIME, o Secure Multipurpose Internet Mail Extensions (Extensiones multipropósito de correo de
Internet seguras), es un estándar de cifrado usado para cifrar el correo electrónico y otros tipos de mensajes
en Internet. Es un estándar abierto desarrollado por RSA, por lo que es muy probable que lo veamos pronto
en GNU/Linux uno de estos días. Se puede encontrar más información sobre S/MIME en RFC2311 (http:
//www.ietf.org/rfc/rfc2311.txt).
153
Capítulo 11. Seguridad bajo GNU/Linux
154
Capítulo 11. Seguridad bajo GNU/Linux
• Usar un cifrado que no sea DES para sus contraseñas. (Haciendo que estas sean más difíciles de descifrar
por medio de la fuerza bruta)
• Configurar límites de recursos para todos sus usuarios para que no puedan realizar ataques de negación de
servicio (número de procesos, cantidad de memoria, etc.)
• Habilitar las contraseñas shadow (ver debajo) sobre la marcha
• Permitir que usuarios específicos sólo se conecten a determinadas horas desde lugares determinados
A las pocas horas de instalar y configurar su sistema, Usted puede prevenir muchos ataques incluso antes de
que estos ocurran. Por ejemplo, use PAM para deshabilitar el uso de archivos .rhosts en el directorio personal
de los usuarios para todo el sistema agregando estas líneas en /etc/pam.d/rlogin:
#
# Deshabilitar rsh/rlogin/rexec para los usuarios
#
login auth required pam_rhosts_auth.so no_rhosts
155
Capítulo 11. Seguridad bajo GNU/Linux
CIPE se puede usar en tunnelling, para poder crear una Red Privada Virtual. El cifrado de bajo nivel tiene la
ventaja que se puede hacer que funcione de manera transparente entre las dos redes conectadas en la RPV, sin
cambio alguno al software de aplicación.
Resumido a partir de la documentación de CIPE:
Los estándares de IPSEC definen un conjunto de protocolos que pueden usarse (entre otras cosas) para cons-
truir VPNs (redes privadas virtuales) cifradas. Sin embargo, IPSEC es un conjunto de protocolos relativamente
pesado y complicado con un montón de opciones, las implementaciones del conjunto completo de protocolos
todavía son poco utilizadas y algunos temas (tal como la administración de claves) todavía no están resueltos
por completo. CIPE usa un alcance más sencillo, en el cual muchas cosas que se pueden parametrizar (tal
como la elección del algoritmo de cifrado usado realmente) son una opción fija elegida en el momento de
instalación. Esto limita la flexibilidad, pero permite una implementación simple (y por lo tanto eficiente, fácil
de depurar...)
Se puede encontrar más información en http://sites.inka.de/sites/bigred/devel/cipe.html (http://sites.
inka.de/sites/bigred/devel/cipe.html)
Al igual que otras formas de criptografía, no se distribuye predeterminadamente con el núcleo debido a res-
tricciones de exportación.
11.6.7. Kerberos
Kerberos es un sistema de autenticación desarrollado por el Athena Project en el MIT. Cuando un usuario
se conecta, Kerberos autentica a dicho usuario (usando una contraseña), y brinda al usuario una forma de
probar su identidad frente a otros servidores y host diseminados por toda la red.
Luego, esta autenticación es usada por programas tales como rlogin para permitirle al usuario conectarse a
otros hosts sin una contraseña (en lugar del archivo .rhosts). Este método de autenticación también se puede
usar por el sistema de correo para garantizar que el correo se entrega a la persona correcta, así como también
para garantizar que el remitente es quien dice ser.
Kerberos y los otros programas con los que viene, evitan que los usuarios “engañen” al sistema haciéndole
creer que ellos son otra persona. Desafortunadamente, la instalación de Kerberos es muy intrusiva, siendo
necesaria la modificación o el reemplazo de numerosos programas estándar.
Puede encontrar más información sobre Kerberos mirando en las FAQ sobre Kerberos (http://www.faqs.
org/faqs/kerberos-faq/general/), y el código se puede encontrar en el sitio web del MIT (http://web.
mit.edu/kerberos/www/).
[De: Stein, Jennifer G., Clifford Neuman, y Jeffrey L. Schiller. "Kerberos: Un servicio de autenticación para
sistemas de red abiertos." Conferencia USENIX, Dallas, Texas, Invierno 1998.]
Kerberos no debería ser su primer paso en mejorar la seguridad de su host. Es bastante complejo, y no tan
ampliamente usado como, digamos, SSH.
156
Capítulo 11. Seguridad bajo GNU/Linux
11.6.10.1. X11
Es importante para Usted el asegurar su pantalla gráfica para evitar que los atacantes recojan sus contraseñas
mientras Usted las ingresa, lean documentos o información que Usted está leyendo en su monitor, o incluso
usen un hueco para ganar acceso como root. Ejecutar aplicaciones X remotas a través de una red también
puede estar lleno de riesgos, permitiendo a los sabuesos ver toda su interacción con el sistema remoto.
X tiene una cantidad de mecanismos de control de acceso. El más simple de ellos, está basado en el host: Usted
usa xhost para especificar los hosts a los cuales se les permite acceso a su pantalla. Esto no es muy seguro en
absoluto, ya que si alguien tiene acceso a su máquina, puede ejecutar xhost + la_máquina_de_ellos y entrar
fácilmente. También, si Usted tiene que permitir el acceso desde una máquina en la cual no confía, cualquiera
que esté allí puede comprometer su pantalla.
Cuando se usa xdm (X Display Manager, Administrador de pantallas X ), o su contrapartida KDE : KDM , para
conectarse, se tiene un método de acceso mucho mejor: MIT-MAGIC-COOKIE-1. Se genera un “cookie” de
128 bits y se almacena en su archivo .Xauthority. Si necesita permitir que una máquina remota acceda a su
pantalla, puede usar el comando xauth y la información en su archivo .Xauthority para proveer acceso sólo
a esa conexión. Consulte el mini-COMO sobre Aplicaciones X remotas (http://metalab.unc.edu/LDP/HOWTO/
mini/Remote-X-Apps.html).
También puede usar ssh (ver ssh (Secure SHell) y stelnet, página 154) para permitir conexiones X seguras. Esto
tiene la ventaja extra de ser transparente para el usuario final, y significa que no fluyen datos sin cifrar a través
de la red.
También puede deshabilitar cualquier conexión remota a su servidor X utilizando la opción -nolisten tcp
de su servidor X . Esto evitará cualquier conexión de red a su servidor a través de los sockets TCP.
Eche un vistazo a la página Man de Xsecurity para mayor información sobre la seguridad en X . La apuesta
segura es usar xdm para ingresar a su consola y luego usar ssh para ir a sitios remotos sobre los cuales desea
correr programas X .
11.6.10.2. SVGA
Los programas de SVGAlib típicamente son suid -root para poder acceder a todo el hardware de vídeo de su
máquina GNU/Linux . Esto los torna muy peligrosos. Si ellos se cuelgan, por lo general Usted tendrá que rei-
niciar su máquina para volver a obtener una consola utilizable. Asegúrese que cualquier programa SVGA que
Usted está ejecutando es auténtico, y puede ser confiado al menos algo. Mejor aún, no los corra en absoluto.
157
Capítulo 11. Seguridad bajo GNU/Linux
158
Capítulo 11. Seguridad bajo GNU/Linux
159
Capítulo 11. Seguridad bajo GNU/Linux
• Port Forwarding
El reenvío de puertos es una adición al enmascarado de IP que permite algo de reenvío de paquetes des-
de el exterior al interior de un cortafuegos en determinados puertos. Esto puede ser útil, por ejemplo, si
quiere correr un servidor web detrás del host cortafuegos o de enmascaramiento y ese servidor web debe
ser accesible desde el mundo exterior. Un cliente externo envía un pedido al puerto 80 del cortafuegos, el
cortafuegos reenvía este pedido al servidor web, el servidor web maneja el pedido y se envían los resultados
a través del cortafuegos al cliente original. El cliente cree que es la máquina cortafuegos en sí misma la que
está corriendo el servidor web. También se puede usar esto para el balanceo de carga si tiene una granja
de servidores web idénticos detrás del cortafuegos. Está disponible información sobre esta característica en
monmouth (http://www.monmouth.demon.co.uk/ipsubs/portforwarding.html). Para información gene-
ral, por favor vea compsoc (ftp://ftp.compsoc.net/users/steve/ipportfw/linux21/).
• IP: Masquerading
El enmascaramiento de IP del núcleo 2.2 ha sido mejorado. El mismo proporciona soporte adicional pa-
ra protocolos especiales de enmascaramiento, etc. Asegúrese de leer el COMO sobre IP Chains para mayor
información.
160
Capítulo 11. Seguridad bajo GNU/Linux
La única diferencia entre estos dos dispositivos, es que /dev/random corre a partir de bytes aleatorios y hace
que Usted espere que se acumulen más. Note que en algunos sistemas, se puede bloquear por un largo rato
esperando que la nueva entropía generada por el usuario ingrese en el sistema. Por lo tanto debería tener
cuidado antes de usar /dev/random. (Tal vez la mejor cosa a hacer es usarlo cuando Usted está generando
información sensible al tecleo, y Usted le dice al usuario que presione el teclado repetitivamente hasta que se
imprima “Bueno, suficiente”.)
/dev/random es entropía de alta calidad, generada a partir de la medición de los tiempos inter-interrupciones,
etc. Se bloquea hasta que están disponibles suficientes bits de datos aleatorios.
/dev/urandom es similar, pero cuando el almacén de entropía se está vaciando, devolverá un hash criptográfi-
camente fuerte de lo que hay. Esto no es tan seguro, pero es suficiente para la mayoría de las aplicaciones.
Usted puede leer del dispositivo usando algo como lo siguiente:
Esto mostrará seis caracteres aleatorios en la consola, adecuados para la generación de contraseñas. Puede
encontrar a mimencode en el paquete metamail.
Vea /usr/src/linux/drivers/char/random.c para una descripción del algoritmo.
161
Capítulo 11. Seguridad bajo GNU/Linux
También puede quitar (o agregar comentarios a) los servicios en su archivo /etc/services. Esto significará
que los clientes locales tampoco podrán encontrar el servicio (es decir, si Usted quita ftp, e intenta hacer ftp
a un sitio remoto desde esa máquina este fallará con un mensaje de servicio desconocido) Generalmente
no vale la pena quitar servicios desde /etc/services, ya que esto no proporciona seguridad adicional. Si una
persona local quisiera usar ftp incluso cuando Usted agregó el comentario, ellos pueden hacer que su propio
cliente use el puerto común de FTP y todavía funcionaría sin problemas.
Algunos de los servicios que querría dejar habilitados son:
• ftp
• telnet (o ssh)
• correo electrónico, como pop-3 o imap
• identd
Si sabe que no va a utilizar algún paquete en particular, también puede eliminarlo por completo.rpm -e pac-
kagename borrará un paquete completo.
Adicionalmente, Usted realmente quiere deshabilitar los utilitarios rsh/rlogin/rcp incluyendo a login (usado
por rlogin), shell (usado por rcp), y exec (usado por rsh) para que no se inicien en /etc/inetd.conf. Estos
protocolos son extremadamente inseguros y han sido la causa de explotaciones en el pasado.
Debería verificar sus archivos /etc/rc.d/rc[0-9].d, y ver si algunos de los servidores que se inician en esos
directorios no se necesitan. En realidad, los archivos en esos directorios son vínculos simbólicos a archivos
en el directorio /etc/rc.d/init.d. El renombrar los archivos en el directorio init.d deshabilita a todos los
vínculos simbólicos que apunten a tales archivos. Si Usted sólo quiere deshabilitar un servicio para un nivel de
ejecución en particular, renombre el vínculo simbólico apropiado reemplazando la S con una K, de la siguiente
forma:
root# cd /etc/rc6.d
root# mv S45dhcpd K45dhcpd
Su distribución Mandrake Linux se envía con un tcp_wrapper que “envuelve” a todos sus servicios TCP. El
tcp_wrapper (tcpd) se invoca desde inetd en lugar del servidor real. tcpd entonces verifica el host que está
pidiendo el servicio y, o bien ejecuta el servidor real, o bien niega el acceso desde ese host. tcpd le permite
restringir el acceso a sus servicios TCP. Usted debería editar /etc/hosts.allow y agregar sólo aquellos hosts
que necesitan tener acceso a los servicios de su máquina.
Si Usted es un usuario hogareño de acceso telefónico, sugerimos que niegue TODOS. tcpd también registra los
intentos fallidos de acceso a los servicios, por lo que esto lo puede alertar si Usted está bajo ataque. Si agrega
servicios nuevos, debería asegurarse de configurarlos para usar tcp_wrappers si están basados en TCP. Por
ejemplo, un usuario normal de acceso telefónico puede evitar que los extraños se conecten a su máquina, y
todavía tener la posibilidad de recibir correo, y hacer conexiones de red a Internet. Para lograr esto, podría
agregar lo siguiente a su archivo /etc/hosts.allow:
ALL: 127.
Y, por supuesto, su archivo /etc/hosts.deny contendría:
ALL: ALL
lo cual evitará las conexiones externas a su máquina, y todavía le permitirá a Usted conectarse desde la misma
con servidores en Internet.
Tenga en mente que los tcp_wrappers sólo protegen a los servicios que se ejecutan desde inetd, y a unos pocos
otros seleccionados. Bien podría haber otros servicios corriendo en su máquina. Usted puede usar netstat -
ta para encontrar una lista de todos los servicios que su máquina está ofreciendo.
162
Capítulo 11. Seguridad bajo GNU/Linux
11.8.4. identd
identd es un programa pequeño que típicamente corre desde su servidor inetd. Mantiene la pista de el servi-
cio TCP que está corriendo cada usuario, y le reporta sobre quien hizo la demanda.
Mucha gente no entiende la utilidad de identd, y por lo tanto lo deshabilitan o bloquean a todos quienes lo
piden desde fuera del sitio. identd no está allí para ayudar a los sitios remotos. No hay forma de saber si los
datos que Usted obtiene desde el identd remoto son correctos o no. No hay autenticación en los pedidos de
identd.
Entonces, ¿por qué querría ejecutarlo? Porque lo ayuda a Usted, y es otro punto en seguir la pista a los datos.
Si su identd no está comprometido, entonces Usted sabe que le está diciendo a los sitios remotos el nombre
de usuario o el UID de la gente que usa servicios TCP. Si el administrador de un sitio remoto se presenta ante
Usted y le dice que el usuario fulano de tal estaba intentando hackear dentro de su sitio, Usted puede tomar
acción fácilmente contra ese usuario. Si Usted no está corriendo identd, Usted tendrá que revisar montones
y montones de registros, adivinar quien estaba conectado en ese momento, y en general tomaría mucho más
tiempo seguirle la pista al usuario.
El identd que se envía con la mayoría de las distribuciones es más configurable de lo que piensa mucha gente.
Lo puede deshabilitar para usuarios específicos (ellos pueden hacer un archivo .noident), puede registrar
todos los pedidos identd (lo cual recomendamos), incluso puede hacer que identd devuelva un UID en vez
de un nombre de usuario o incluso NO-USER.
163
Capítulo 11. Seguridad bajo GNU/Linux
TriSentry (antes conocido como Abacus ) es un conjunto de programas que brindan seguridad y detección de
intrusiones basadas en el host. Consulte la página web de Psionic (http://www.psionic.com/products/) para
mayor información.
SAINT es una versión actualizada de SATAN . Está basada en web y tiene muchas más pruebas actualizadas que
SATAN . Puede encontrar más información acerca del mismo en: wwdsi.com (http://www.wwdsi.com/saint)
Nessus es un rastreador de seguridad libre. Tiene una interfaz gráfica GTK para facilidad de uso. También
está diseñado con una configuración muy buena de plugins para pruebas de rastreo de puertos nuevas. Para
mayor información, eche un vistazo a : nessus.org (http://www.nessus.org/)
Esto causará que sendmail vacíe la cola de correo cada quince minutos para cualquier mensaje que no se pudo
enviar satisfactoriamente en el primer intento.
Muchos administradores eligen no usar sendmail , y en su lugar elegir uno de los otros agentes de transporte
de correo. Usted podría considerar el cambiar a Qmail . Qmail fue diseñado con la seguridad en mente desde
el principio. Es rápido, estable, y seguro. Se puede encontrar a Qmail en: qmail.org (http://www.qmail.org)
En competencia directa con Qmail está Postfix , escrito por Wietse Venema, el autor de tcp_wrappers y otras
herramientas de seguridad. Antes denominado vmailer , y patrocinado por IBM, este también es un agente de
transporte de correo escrito con la seguridad en mente desde el principio. Puede encontrar más información
sobre Postfix en el sitio web de Postfix (http://www.postfix.org)
164
Capítulo 11. Seguridad bajo GNU/Linux
• SYN Flooding – Este es un ataque de negación de servicio de red. Se aprovecha de un “hueco de lazo” en la
forma en que se crean las conexiones TCP. Los núcleos de GNU/Linux más recientes (2.0.30 y superiores)
tienen varias opciones configurables para evitar que los ataques de este tipo le nieguen a la gente el acceso
a su máquina o a los servicios de la misma. Consulte Seguridad del núcleo, página 158 para las opciones
apropiadas de protección del núcleo.
• Ping Flooding – Este es simplemente un ataque de negación de servicio de fuerza bruta. El atacante envía
una “inundación” de paquetes ICMP a su máquina. Si ellos están haciendo esto desde un host con mejor
ancho de banda que el suyo, su máquina no podrá enviar todo a la red. Una variación de este ataque,
denominada “smurfing”, envía paquetes ICMP a un host con la dirección IP de retorno de su máquina,
permitiéndoles inundarlo de una forma más difícil de detectar. Puede encontrar más información sobre
el ataque “smurf” en linuxsecurity.com (http://www.linuxsecurity.com/articles/network_security_
article-4258.html)
Si alguna vez está bajo un ataque de inundación de ping, use una herramienta como tcpdump para deter-
minar de donde vienen los paquetes (o de donde parecen venir), luego contacte a su proveedor con esta
información. Las inundaciones de ping pueden pararse fácilmente al nivel del router o usando un cortafue-
gos.
• Ping o’ Death – El ataque Ping o’ Death (El ping de la muerte) envía paquetes ICMP ECHO REQUEST que son
muy grandes para caber en las estructuras de datos del núcleo que pretenden alojarlos. Debido a que man-
dar un único paquete “ping” grande (65,510 bytes) a muchos sistemas causará que los mismos se cuelguen
o incluso se caigan, este problema fue rápidamente bautizado el “Ping de la muerte”. Ya hace tiempo que se
corrigió este tipo de ataque, y por lo tanto ya no es algo por lo que uno tenga que hacerse problemas.
Puede encontrar el código para la mayoría de las explotaciones, y una descripción más detallada de como
funcionan usando el motor de búsqueda que brinda insecure.org (http://www.insecure.org/sploits.html)
165
Capítulo 11. Seguridad bajo GNU/Linux
11.8.11. Cortafuegos
Los cortafuegos son una forma de controlar que información se permite ingresar a y salir desde su red local.
Típicamente el host cortafuegos está conectado a la Internet y su red LAN local, y el único acceso desde su red
LAN local a la Internet es a través del cortafuegos. De esta forma el cortafuegos puede controlar lo que pasa
en ambas direcciones entre la Internet y su red LAN.
Hay varios tipos de cortafuegos y métodos de configurarlos. Las máquinas GNU/Linux son cortafuegos muy
buenos. El código del cortafuegos se puede incorporar directamente en los núcleos 2.0 y superiores. Las he-
rramientas de espacio de usuario ipchains para los núcleos 2.2, e iptables para los núcleos 2.4 le permiten
cambiar, sobre la marcha, los tipos de tráfico de red que Usted permite. También puede registrar tipos parti-
culares de tráfico de red.
Los cortafuegos son una técnica muy útil e importante para asegurar su red. Sin embargo, nunca piense que
por el hecho de tener un cortafuegos, no necesita asegurar las máquinas detrás del mismo. Esto es un error
fatal. Eche un vistazo al COMO sobre cortafuegos muy bueno en ibiblio (http://www.ibiblio.org/mdw/HOWTO/
Firewall-HOWTO.html) para mayor información sobre los cortafuegos y GNU/Linux .
Si no tiene experiencia alguna con los cortafuegos, y planea configurar uno para algo más que una sim-
ple política de seguridad, el libro Firewalls de O’Reilly and Associates u otra documentación en línea so-
bre cortafuegos son lecturas obligatorias. Eche un vistazo en el sitio de O’Reilly (http://www.ora.com) pa-
ra mayor información. El National Institute of Standards and Technology (NIST) ha hecho un documento
excelente sobre cortafuegos. Aunque data de 1995, todavía es bastante bueno. Lo puede encontrar en NIST
(http://cs-www.ncsl.nist.gov/publications/nistpubs/800-10/main.html). También de interés, se inclu-
yen:
• The Freefire Project -- una lista de herramientas de cortafuegos disponibles libremente en freefire (http:
//sites.inka.de/sites/lina/freefire-l/index_en.html).
• Mason -- el constructor automático de cortafuegos para GNU/Linux . Este es un script de cortafuegos ¡que aprende
a medida que Usted realiza las cosas que necesita hacer en su red! Más información en: mason (http:
//www.pobox.com/~wstearns/mason/).
166
Capítulo 11. Seguridad bajo GNU/Linux
Para más información debe asegurarse de leer el COMO sobre IP Chains. Está disponible en LinuxDoc (http:
//www.tldp.org/HOWTO/IPCHAINS-HOWTO.html)
167
Capítulo 11. Seguridad bajo GNU/Linux
Si está corriendo un cortafuegos GNU/Linux de enmascaramiento y necesita pasar paquetes MS PPTP (el pro-
ducto de VPN punto a punto de Microsoft), hay un parche para el núcleo de GNU/Linux justamente para hacer
eso. Consulte ip-masq-vpn (ftp://ftp.rubyriver.com/pub/jhardin/masquerade/ip_masq_vpn.html).
Hay varias soluciones disponibles para VPN en GNU/Linux :
168
Capítulo 11. Seguridad bajo GNU/Linux
para verificar cada archivo del sistema. Vea la página Man de rpm, ya que hay algunas otras opciones que se
pueden incluir para hacerlo menos verboso. Tenga presente que también debe asegurarse que su binario RPM
no ha sido comprometido.
Esto significa que cada vez que se agrega al sistema un RPM nuevo, se deberá volver a archivar la base de
datos de RPM. Usted tendrá que evaluar las ventajas y desventajas.
169
Capítulo 11. Seguridad bajo GNU/Linux
170
Capítulo 11. Seguridad bajo GNU/Linux
Verifique todos sus archivos de registro, y haga una visita a sus listas y páginas de seguridad y vea si hay
alguna explotación común nueva que Usted pueda corregir. Puede encontrar las correcciones de seguridad de
su distribución Mandrake Linux corriendo MandrakeUpdate regularmente.
Ahora existe un proyecto de auditoría de seguridad de GNU/Linux . Ellos están pasando metódicamente por
todos los utilitarios de espacio de usuario y buscando explotaciones de seguridad y desbordamientos posibles.
Del anuncio del mismo:
“Estamos intentando una auditoría sistemática de los fuentes de GNU/Linux con vistas a que sea tan seguro
como OpenBSD . Ya hemos descubierto (y arreglado) algunos problemas, aunque más ayuda es bienvenida. La
lista no está moderada y también es un recurso útil para discusiones de seguridad generales. La dirección de
la lista es: security-audit@ferret.lmh.ox.ac.uk Para suscribirse, envíe un correo electrónico a: security-
audit-subscribe@ferret.lmh.ox.ac.uk”
Si Usted no traba al atacante para que no vuelva a ingresar, probablemente ellos volverán. No sólo volverán
a su máquina, sino que volverán a algún lugar de su red. Si ellos estaban corriendo un sabueso de paquetes,
hay muchas posibilidades de que tengan acceso a otras máquinas locales.
171
Capítulo 11. Seguridad bajo GNU/Linux
Los crackers buenos por lo general usan muchos sistemas intermedios, algunos (o muchos) de los cuales
incluso no deben saber que han sido comprometidos. Intentar seguirle la pista a un cracker hasta su hogar
puede ser difícil. El ser amable con los administradores con los cuales habla puede ser de muy útil para
obtener ayuda de ellos.
También debería notificar a cualquier organismo de seguridad de los que Usted es parte (el CERT (http:
//www.cert.org/) o similar), así como también a MandrakeSoft (http://www.mandrakesecure.net/en/).
• The Hacker FAQ son las preguntas formuladas con frecuencia acerca de los hackers: The Hacker FAQ (http:
//www.plethora.net/~seebs/faqs/hacker.html)
• El archivo COAST tiene una gran cantidad de programas UNIX relacionados con la seguridad e información:
COAST (http://www.cerias.purdue.edu/coast/)
172
Capítulo 11. Seguridad bajo GNU/Linux
Referencias
D. Brent Chapman, Elizabeth D. Zwicky, Building Internet Firewalls, 1st Edition September 1995, ISBN 1-56592-
124-0.
Simson Garfinkel, Gene Spafford, Practical UNIX & Internet Security, 2nd Edition April 1996, ISBN 1-56592-
148-8.
Deborah Russell, G.T. Gangemi, Sr., Computer Security Basics, 1st Edition July 1991, ISBN 0-937175-71-4.
Olaf Kirch, Linux Network Administrator’s Guide, 1st Edition January 1995, ISBN 1-56592-087-2.
Simson Garfinkel, PGP: Pretty Good Privacy, 1st Edition December 1994, ISBN 1-56592-098-8.
David Icove, Karl Seger, William VonStorch, Computer Crime A Crimefighter’s Handbook, 1st Edition August
1995, ISBN 1-56592-086-4.
173
Capítulo 11. Seguridad bajo GNU/Linux
John S. Flowers, Linux Security, New Riders, March 1999, ISBN 0735700354.
Anonymous, Maximum Linux Security : A Hacker’s Guide to Protecting Your Linux Server and Network, July 1999,
ISBN 0672313413.
Terry Escamilla, Intrusion Detection, John Wiley and Sons, September 1998, ISBN 0471290009.
Donn Parker, Fighting Computer Crime, John Wiley and Sons, September 1998, ISBN 0471163783.
P: ¿Por qué siempre falla la conexión como root desde una máquina remota?
R: Vea Seguridad de root , página 146. Esto se hace intencionalmente para evitar que los usuarios remotos
intenten conectarse por medio de telnet a su computadora como root que es una vulnerabilidad de segu-
ridad seria, debido a que se transmitiría la contraseña textual de root, a través de la red. No lo olvide: los
intrusos potenciales tienen al tiempo de su lado, y pueden correr programas automatizados para averiguar su
contraseña. Además, esto se hace para mantener un registro claro de quienes se conectaron, no sólo root.
Tamboén puede intentar ZEDZ net (http://www.zedz.net) que tiene muchos paquetes pre-construidos, y
está ubicado fuera de Estados Unidos.
174
P: ¿Cómo puedo manipular las cuentas de los usuarios y todavía así retener la seguridad?
R: Su distribución Mandrake Linux contiene una gran cantidad de herramientas para cambiar las propiedades
de las cuentas de usuario.
• Se pueden usar los programas pwconv y unpwconv para convertir entre contraseñas shadow y no-shadow.
• Se pueden usar los programas pwck y grpck para verificar la organización adecuada de los archivos /etc/
passwd y /etc/group.
• Se pueden usar los programas useradd, usermod, y userdel para añadir, borrar y modificar cuentas de
usuario. Los programas groupadd, groupmod, y groupdel harán lo mismo para los grupos.
• Se pueden crear contraseñas de grupos utilizando gpasswd.
Todos estos programas soportan las contraseñas shadow – es decir, si las habilita, los programas utilizarán
/etc/shadow para la información de contraseñas, en caso contrario no.
P: ¿Cómo puedo proteger con contraseña documentos HTML específicos utilizando Apache ?
R: Apuesto que Usted no sabía acerca de apacheweek.com (http://www.apacheweek.com), ¿cierto?
Puede encontrar información sobre la autenticación de usuarios en apacheweek punto com (http://www.
apacheweek.com/features/userauth) así como también otros consejos de seguridad sobre servidores web en
Apache (http://www.apache.org/docs/misc/security_tips.html)
11.13. Conclusión
Suscribiéndose a las listas de correo de alertas de seguridad y manteniéndose actualizado, puede hacer un
montón en pos de asegurar su máquina. Incluso puede hacer más si presta atención a sus archivos de registro
y ejecuta algo como tripwire regularmente.
No es difícil mantener un nivel razonable de seguridad de computadoras en una máquina hogareña. Se ne-
cesita mayor esfuerzo para las máquinas de negocios, pero GNU/Linux puede sin lugar a dudas, ser una pla-
taforma segura. Debido a la naturaleza del desarrollo de GNU/Linux , los arreglos de seguridad generalmente
están disponibles más rápido que lo que están en los sistemas operativos comerciales, haciendo de GNU/Linux
una plataforma ideal cuando la seguridad es un requisito.
Debajo se incluyen varios términos de los más utilizados en la seguridad de computadoras. En LinuxSecu-
rity.com (http://www.linuxsecurity.com/dictionary/) está disponible un diccionario completo de térmi-
nos relacionados con la seguridad de computadoras.
autenticación
El proceso de saber que los datos recibidos son los mismos que los datos que se han enviado, y que quien
dice ser el remitente es, de hecho, quien realmente los envió.
175
Términos relacionados con la seguridad
dual-homed Host
Una computadora de propósito general que tiene al menos dos interfaces de red.
firewall (cortafuegos)
Un componente o conjunto de componentes que restringe el acceso entre una red protegida y la Internet,
o entre otros conjuntos de redes.
host
Una computadora conectada a una red.
no repudio
La propiedad que tiene un destinatario de poder probar que el remitente de algunos datos, de hecho ha
enviado los datos incluso cuando el remitente pueda negar más tarde el hecho de haberlos enviado.
paquete
La unidad fundamental de comunicación en la Internet.
paquetes, filtrado de
La acción que toma un dispositivo de controlar selectivamente el flujo de datos desde y hacia una red. Los
filtros de paquetes permiten o bloquean a los paquetes, generalmente mientras los rutean desde una red
a otra (lo más usual es desde la Internet a un red interna y vice-versa) Para lograr el filtrado de paquetes,
Usted configura reglas que especifican los tipos de paquetes (aquellos hacia o desde una dirección IP o
un puerto en particular) que se van a permitir y los que se van a bloquear.
perimetral, red
Una red agregada entre una red protegida y una red externa, para proporcionar una capa de seguridad
adicional. Una red perimetral a veces se denomina una DMZ (Zona DesMilitarizada)
proxy, servidor
Un programa que trata con los servidores externos en nombre de los clientes internos. Los clientes proxy
se comunican con los servidores proxy, los que relevan los pedidos aprobados de los clientes a los servi-
dores reales, y relevan las respuestas de vuelta a los clientes.
superusuario
Un nombre informal para root.
176
Capı́tulo 12. Generalidades sobre redes
12.1. Copyright
Este capítulo está basado en un COMO por Joshua D. Drake {POET} cuyo original está almacenado en el sitio
web LinuxPorts.com/ (http://www.linuxports.com/).
La información sobre como configurar e instalar el soporte para redes en GNU/Linux de los NET-3/4-COMO , y
Networking-COMO Copyright (c) 1997 Terry Dawson, 1998 Alessandro Rubini, 1999 Joshua D. Drake {POET} -
thelinuxreview.com/ (http://www.thelinuxreview.com/) son documentos LIBRES. Usted los puede volver
a distribuir bajo los términos de la Licencia Pública General GNU.
Modificaciones a partir de la versión v1.6.9, 3 de julio de 2000, (C)opyright 2000 - 2002 MandrakeSoft
Considerar su red
Debería saber cómo está, o estará diseñada su red y exactamente qué tipos de hardware y tecnologías va
a implementar.
Leer la sección Información sobre Ethernet, página 184 si posee una conexión directa con una red LAN o con la
Internet
Esta sección describe la configuración básica de Ethernet y las distintas características que ofrece
GNU/Linux para las redes IP, como los cortafuegos, el ruteo avanzado, y así sucesivamente.
Leer la sección siguiente si Usted está interesado en redes locales de bajo costo o conexiones de acceso telefó-
nico
La sección describe PLIP, PPP, SLIP, y RDSI, tecnologías ampliamente usadas en estaciones de trabajo
personales.
177
Capítulo 12. Generalidades sobre redes
¡Divertirse!
Las redes son divertidas, disfrútelas.
Por favor, recuerde que cuando reporte cualquier problema debe incluir tanto detalle relevante acerca del
mismo como pueda. Específicamente, Usted debería aclarar las versiones de software que está utilizando, en
especial la versión del núcleo, la versión de herramientas tales como pppd o dip y la naturaleza exacta del
problema que Usted está experimentando. Esto significa tomar nota de la sintaxis exacta de cualquier mensaje
de error que Usted reciba y de cualquier comando que Usted esté ingresando.
Introducción a TCP/IP
Este documento viene tanto en una versión de texto (ftp://athos.rutgers.edu/runet/tcp-ip-intro.
doc) como en una versión PostScript (ftp://athos.rutgers.edu/runet/tcp-ip-intro.ps).
178
Capítulo 12. Generalidades sobre redes
Administración de TCP/IP
Este documento viene tanto en una versión de texto (ftp://athos.rutgers.edu/runet/tcp-ip-admin.
doc) como en una versión PostScript (ftp://athos.rutgers.edu/runet/tcp-ip-admin.ps).
Si Usted está buscando algo de información más detallada sobre las redes TCP/IP, entonces es altamente
recomendable:
“Internetworking with TCP/IP, Volume 1: principles, protocols and architecture, por Douglas E. Comer,
ISBN 0-13-227836-7, publicaciones Prentice Hall, Tercera Edición, 1995.”
Si Usted desea aprender a escribir aplicaciones de red en un entorno compatible con los sistemas UNIX , enton-
ces también es altamente recomendable:
“Unix Network Programming, por W. Richard Stevens, ISBN 0-13-949876-1, publicaciones Prentice Hall,
1990.”
Está apareciendo en los escaparates de las librerías una segunda edición, el libro nuevo está compuesto por
tres volúmenes: vea el sitio web de Prentice-Hall (http://www.phptr.com/) para mayor información.
También puede intentar con el foro de discusión comp.protocols.tcp-ip (news:comp.protocols.tcp-ip).
Una fuente importante de información técnica específica relacionada con Internet y el conjunto de protocolos
TCP/IP son las RFC. RFC es un acrónimo de Request For Comments (Pedido de comentarios) y es la manera
estándar de enviar y documentar los estándares de los protocolos de Internet. Existen muchos repositorios de
RFC. Muchos de estos sitios son sitios FTP y otros proporcionan acceso por web con un motor de búsqueda
asociado que le permite buscar claves particulares en la base de datos de las RFC.
Una fuente posible para las RFC está en La base de datos Nexor de RFC (http://pubweb.nexor.co.uk/
public/rfc/index/rfc.html).
179
Capítulo 12. Generalidades sobre redes
Normalmente, el código fuente del núcleo se desarchivará en el directorio /usr/src/linux. Para información
sobre como aplicar los parches y construir el núcleo, Usted debería leer el COMO sobre el núcleo (http://
linuxdoc.org/HOWTO/Kernel-HOWTO.html). Para información sobre como configurar los módulos del núcleo,
Usted debería leer Modules mini-HOWTO. También el archivo README que se encuentra en los fuentes del
núcleo y el directorio Documentation son muy informativos para el lector avezado.
A menos que específicamente se diga lo contrario, se recomienda que se quede con la revisión estándar del
núcleo (la que tiene un número par como segundo dígito en el número de versión del núcleo). Las revisiones
de desarrollo del núcleo (aquellas que tienen un segundo dígito impar) pueden sufrir cambios estructurales
u otros que pueden causar problemas con el resto del software en su sistema. Si no está seguro de poder
resolver esos tipos de problemas además del potencial de que existan otros errores de software, entonces no
use las versiones de desarrollo del núcleo.
Cualquier dirección a la cual se la aplique un “AND lógico bit a bit” con su máscara de red revelará la dirección
de la red a la cual pertenece. Por lo tanto la dirección de red siempre es aquella con el menor número dentro
del rango de direcciones de la red y siempre tiene la porción del host de la dirección codificada como todos
ceros.
La dirección de difusión es una dirección especial sobre la cual cada host de la red escucha además de su propia
dirección única. Esta dirección es a la cual se envían los datagramas si cada host de la red debe recibirlos.
Ciertos tipos de datos como, por ejemplo, la información de ruteo y los mensajes de advertencia se transmiten
a la dirección de difusión de forma tal que cada host de la red lo pueda recibir simultáneamente. Existen dos
estándares comúnmente usados para cual debería ser la dirección de difusión. El más ampliamente aceptado
es usar la dirección de la red más alta posible como la dirección de difusión. En el ejemplo de arriba esta sería
192.168.110.255. Por alguna razón otros sitios han adoptado la convención de usar la dirección de red como
la dirección de difusión. En la práctica no importa mucho cual dirección use, pero Usted debe asegurarse que
cada host de la red está configurado con la misma dirección de difusión.
Por razones administrativas hace tiempo cuando recién empezaba el desarrollo del protocolo IP algunos gru-
pos de direcciones arbitrarios se convirtieron en redes y estas redes se agruparon en lo que se denominan
clases. Estas clases proporcionan una cantidad de redes de tamaño estándar que se podrían asignar. Los ran-
gos asignados son:
180
Capítulo 12. Generalidades sobre redes
Las direcciones que debería usar dependen exactamente de que es lo que Usted está haciendo. Puede usar una
combinación de las actividades siguientes para obtener todas las direcciones que necesita:
Entonces, debería configurar su dispositivo de red GNU/Linux con esos detalles. Usted no puede inven-
tarlos y pretender que su configuración funcione.
Primero debería decidir cuan grande desea que sea su red y luego elegir tantas direcciones como necesite.
12.4.2. Ruteo
El ruteo es un tema importante. Es posible escribir volúmenes de texto enormes con facilidad. La mayoría de
Ustedes tendrán requisitos de ruteo bastante simple, algunos de Ustedes no. Sólo cubriremos algunas cosas
fundamentales básicas acerca del ruteo. Si está interesado en información más detallada, entonces le sugerimos
que consulte las referencias provistas al principio del documento.
Comencemos con una definición. ¿Qué es el ruteo de IP? Aquí está la que utilizamos:
“El ruteo de IP es el proceso por el cual un host con múltiples conexiones de red decide dónde enviar los
datagramas IP que ha recibido.”
181
Capítulo 12. Generalidades sobre redes
Puede resultar útil ilustrar esto con un ejemplo. Imagine un router típico de oficina, puede tener un vínculo
PPP con la Internet, una cantidad de segmentos Ethernet alimentando las estaciones de trabajo y otro vínculo
PPP con otra oficina. Cuando el router recibe un datagrama en cualquiera de sus conexiones de red, el ruteo es
el mecanismo que utiliza para determinar cuál es la próxima interfaz a la que debería enviar dicho datagrama.
Los hosts simples también necesitan rutear, todos los hosts de la Internet tienen dos dispositivos de red, uno
es la interfaz loopback descrita arriba y el otro es el que utiliza para comunicarse con el resto de la red, tal vez
una interfaz Ethernet, una PPP, una SLIP o una serie.
Bien, ¿entonces cómo funciona el ruteo? Cada host mantiene una lista especial de reglas de ruteo, denominada
“tabla de ruteo”. Esta tabla contiene filas que, típicamente, contienen al menos tres campos: el primero es una
dirección de destino, el segundo es el nombre de la interfaz a la cual se debe rutear el datagrama, y el tercero
es opcionalmente la dirección IP de otra máquina que llevará el datagrama a su próximo paso a través de la
red. Con GNU/Linux Usted puede ver esta tabla utilizando el comando siguiente:
usuario% cat /proc/net/route
El proceso de ruteo es bastante simple: se recibe un datagrama entrante, se examina la dirección de destino
(para quién es) y se compara con cada entrada en la tabla. Se selecciona la entrada que coincide mejor con esa
dirección y se reenvía el datagrama a la interfaz especificada. Si el campo de pasarela está completo, entonces
el datagrama se envía a ese host a través de la interfaz especificada. De lo contrario, se asume que la dirección
de destino se encuentra en la red soportada por la interfaz.
182
Capítulo 12. Generalidades sobre redes
A B eth0
eth0
192.168.2.0
192.168.1.0 255.255.255.0
255.255.255.0
ppp0 ppp0
ppp1
ppp1
ppp0 ppp1
C eth0
192.168.3.0
255.255.255.0
Tenemos tres routers A, B y C. Cada uno soporta un segmento Ethernet con una red IP de Clase C (máscara de
red 255.255.255.0). Cada router también tiene un vínculo PPP con alguno de los otros routers. La red forma
un triángulo.
Debería resultar claro que la tabla de ruteo del router A podría ser algo así como:
root# route add -net 192.168.1.0 netmask 255.255.255.0 eth0
root# route add -net 192.168.2.0 netmask 255.255.255.0 ppp0
root# route add -net 192.168.3.0 netmask 255.255.255.0 ppp1
Esto debería funcionar bien simplemente hasta que el vínculo entre el router A y el B falle. Si ese vínculo
fallase, entonces con la entrada de ruteo mostrada arriba, los hosts sobre el segmento Ethernet de A no pueden
alcanzar a los hosts sobre el segmento Ethernet de B porque su datagrama debería enviarse al vínculo ppp0
del router A el cual está roto. Todavía podrían continuar conversando con los hosts en el segmento Ethernet de
C y los hosts sobre el segmento Ethernet de C todavía podrían conversar con los hosts en el segmento Ethernet
de B porque el vínculo entre B y C todavía está intacto.
Pero, espere. Si A puede hablar con C y C todavía puede hablar con B, ¿por qué A no debería rutear sus
datagramas para B a través de C y dejar que C los envíe a B? Esta es exactamente la clase de problemas para
los que se diseñaron los protocolos de ruteo dinámico como RIP. Si cada uno de los routers A, B y C estuvieran
corriendo un demonio de ruteo, entonces sus tablas de ruteo se ajustarían automáticamente para reflejar el
nuevo estado de la red en el caso que alguno de los vínculos de la red falle. La configuración de tal red es
simple, en cada router sólo necesita hacer dos cosas. En este caso, para el router A:
root# route add -net 192.168.1.0 netmask 255.255.255.0 eth0
root# /usr/sbin/routed
El demonio de ruteo routed encuentra todos los puertos de red activos automáticamente cuando se inicia y
envía y escucha mensajes en cada uno de los dispositivos de red para permitirle determinar y actualizar la
tabla de ruteo sobre el host.
Esta ha sido una explicación muy breve sobre el ruteo dinámico y donde debería utilizarlo. Si desea más
información entonces deberá consultar la lista de referencias sugeridas el comienzo del documento.
Los puntos importantes relacionados con el ruteo dinámico son:
183
Capítulo 12. Generalidades sobre redes
1. Sólo necesita correr un demonio de protocolo de ruteo dinámico cuando su máquina GNU/Linux tiene la
posibilidad de seleccionar múltiples rutas posibles hacia un destino. Un ejemplo de esto sería si planifica
utilizar enmascarado de IP.
2. El demonio de ruteo dinámico modificará automáticamente su tabla de ruteo para ajustarse a los cambios
en su red.
3. RIP es apto para redes pequeñas a medianas.
12.5.1.1. 3Com
• Cabletron E21xx;
• Cogent EM110;
• Crystal LAN CS8920, Cs8900.
184
Capítulo 12. Generalidades sobre redes
• Danpex EN-9400;
• DEC DE425 (EISA) / DE434/DE435 (PCI) / DE450/DE500 (controlador DE4x5);
• DEC DE450/DE500-XA (dc21x4x) (controlador Tulip);
• DEC DEPCA y EtherWORKS;
• DEC EtherWORKS 3 (DE203, DE204, DE205);
• DECchip DC21x4x “Tulip”;
• DEC QSilver (controlador Tulip);
• Digi International RightSwitch;
• DLink DE-220P, DE-528CT, DE-530+, DFE-500TX, DFE-530TX.
• Fujitsu FMV-181/182/183/184;
• HP PCLAN (27245 y la serie 27xxx);
• HP PCLAN PLUS (27247B y 27252A);
• HP 10/100VG PCLAN (J2577, J2573, 27248B, J2585) (ISA/EISA/PCI);
• ICL EtherTeam 16i / 32 (EISA);
• Intel EtherExpress;
• Intel EtherExpress Pro.
• KTI ET16/P-D2, ET16/P-DC ISA (trabaja sin jumpers y con la opción de configuración por hardware);
• Macromate MN-220P (modo PnP o NE2000);
• NCR WaveLAN;
• NE2000/NE1000 (tenga cuidado con los clones);
• Netgear FA-310TX (chip Tulip);
• New Media Ethernet.
185
Capítulo 12. Generalidades sobre redes
12.5.1.8. Sun Lance, Sun Intel, Schneider, WD, Zenith, IBM, Enyx
La mayoría de los controladores Ethernet fueron desarrollados por Donald Becker (mailto:becker@CESDIS.
gsfc.nasa.gov).
Lo que hace esto es decirle al programa modprobe que busque 3 tarjetas basadas en NE en las direcciones que
siguen. También dice en qué orden se deberían encontrar y el dispositivo al cual se deberían asignar.
La mayoría de los módulos ISA pueden tomar valores de E/S separados por comas. Por ejemplo:
alias eth0 3c501
alias eth1 3c501
options eth0 -o 3c501-0 io=0x280 irq=5
options eth1 -o 3c501-1 io=0x300 irq=7
La opción -o permite que se asigne un nombre único a cada módulo. La razón para esto es que Usted no puede
tener cargadas dos copias del mismo módulo.
La opción irq= se usa para especificar la IRQ del hardware y la opción io= para especificar los distintos
puertos de E/S.
Predeterminadamente, el núcleo de GNU/Linux sólo prueba un dispositivo Ethernet, Usted necesita pasarle al
núcleo argumentos de línea de comandos para forzar la detección de más tarjetas.
186
Capítulo 12. Generalidades sobre redes
Para aprender cómo hacer que su(s) tarjeta(s) Ethernet funcione(n) bajo GNU/Linux debería consultar el COMO
sobre Ethernet (http://linuxdoc.org/HOWTO/Ethernet-HOWTO.html).
12.6.1. DNS
DNS significa Domain Name System (Sistema de Nombres de Dominio). Es el sistema responsable de hacer
corresponder el nombre de una máquina como www.mandrakesoft.com con la dirección IP de dicha máqui-
na, 216.71.116.162 en este caso, al momento de escribir este documento. Con DNS la correspondencia está
disponible en ambas direcciones; del nombre a la dirección IP y viceversa.
El DNS se compone de una gran cantidad de máquinas por toda la Internet que son responsables de una
cierta cantidad de nombres. A cada máquina se le atribuye un servidor DNS al cual le pueden pedir que
haga corresponder un nombre en particular con la dirección del mismo. Si ese servidor no tiene la respuesta,
entonces le pregunta a otro y así sucesivamente. También puede tener un DNS local responsable de hacer
coincidir direcciones en su red LAN.
Podemos diferenciar entre dos clases de DNS: servidor DNS de caché y servidor DNS maestro. El primero sólo
“recuerda” una petición anterior y luego puede contestarla sin preguntar otra vez a un servidor DNS maestro.
Los servidores de la última clase son los verdaderos responsables como último recurso de hacer coincidir una
dirección con un nombre – o posiblemente decir que este nombre no se corresponde con dirección alguna.
12.7.1. RDSI
La Red Digital de Servicios Integrados (RDSI, o ISDN por Integrated Services Digital Network es una serie de
normas que especifican una red digital de datos conmutada de propósito general. Una “llamada” RDSI crea
un servicio sincrónico de datos punto a punto con el destino. Por lo general, RDSI se entrega sobre un vínculo
de alta velocidad que se divide en una cantidad de canales discretos. Hay dos tipos de canales diferentes.
Los “Canales B” que son los que realmente transportan los datos del usuario y un único canal denominado
“Canal D” que se usa para enviar información de control al intercambio RDSI, para establecer llamadas y para
otras funciones de control. Por ejemplo, en Australia, se puede entregar RDSI en un vínculo de 2Mbps que se
divide en 30 canales B discretos de 64Kbps con un canal D de 64Kbps. Se puede usar cualquier cantidad de
canales a la vez y en cualquier combinación. Usted puede, por ejemplo, establecer 30 llamadas separadas a
30 destinos diferentes a 64Kbps cada una, o puede establecer 15 llamadas a 15 destinos diferentes a 128Kbps
(cada llamada usa dos canales), o simplemente hacer una cantidad pequeña de llamadas y dejar el resto ocioso.
Un canal puede usarse tanto para llamadas entrantes como para llamadas salientes. La intención original de
RDSI era permitir que las compañías de telecomunicaciones (las telefónicas, por ejemplo) proporcionen un
único servicio de datos que podía entregar ya sea servicio telefónico (mediante la digitalización de la voz) o
servicios de datos a su hogar o negocio, sin necesidad de que Usted haga cambios de configuración especiales
en sus instalaciones.
187
Capítulo 12. Generalidades sobre redes
Existen algunas maneras diferentes de conectar a su computadora a un servicio RDSI. Una forma es usar
un dispositivo denominado “Adaptador de Terminal” que se conecta a la Unidad Terminadora de Red que
su proveedor de telecomunicaciones habrá instalado cuando Usted obtuvo su servicio RDSI y presenta una
cantidad de interfaces serie. Una de esas interfaces se usa para ingresar comandos para establecer las llamadas
que usarán a los circuitos de datos cuando se establezcan las mismas. GNU/Linux funcionará con esta clase de
configuración sin modificación, simplemente Usted trata al puerto en el Adaptador de Terminal como trataría
a cualquier otro dispositivo serie. Otra forma, que es la forma para la que está diseñado el soporte RDSI en
el núcleo, le permite instalar una tarjeta RDSI en su máquina GNU/Linux y entonces hace que su software
GNU/Linux maneje los protocolos y haga las llamadas por sí mismo.
Opciones de compilación del núcleo:
ISDN subsystem --->
<*> ISDN support
[ ] Support synchronous PPP
[ ] Support audio via ISDN
< > ICN 2B and 4B support
< > PCBIT-D support
< > Teles/NICCY1016PC/Creatix support
La implementación de RDSI de GNU/Linux soporta una cantidad de tipos diferentes de tarjetas RDSI internas.
Estas son las que se listan en las opciones de configuración del núcleo:
• ICN 2B y 4B;
• Octal PCBIT-D;
• Tarjetas RDSI Teles y compatibles.
Algunas de estas tarjetas necesitan que se les baje un software para poder operar. Existe un utilitario aparte
con el cual se hace esto.
Están disponibles detalles completos sobre como configurar el soporte para RDSI en GNU/Linux en el di-
rectorio /usr/src/linux/Documentation/isdn/ y en una FAQ dedicada a isdn4linux que está disponible
en www.lrz-muenchen.de (http://www.lrz-muenchen.de/~ui161ab/www/isdn/). (Puede hacer clic sobre la
bandera inglesa para obtener una versión en inglés).
12.7.2. PLIP
Durante el desarrollo de las versiones 2.1 del núcleo, el soporte para el puerto paralelo se cambió a una
configuración mejor.
Opciones de compilación del núcleo:
General setup --->
[*] Parallel port support
Network device support --->
<*> PLIP (parallel port) support
188
Capítulo 12. Generalidades sobre redes
El código nuevo para PLIP se comporta como el viejo (usa los mismos comandos ifconfig y route como en
la sección previa, pero la inicialización del dispositivo es diferente debido al soporte para el puerto paralelo
avanzado.
El “primer” dispositivo PLIP siempre se denomina plip0, donde primero es el primer dispositivo detectado
por el sistema, de forma similar a lo que ocurre con los dispositivos Ethernet. El puerto paralelo real que se
usa es uno de los puertos disponibles, como se muestra en /proc/parport. Por ejemplo, si Usted sólo tiene un
puerto paralelo, sólo tendrá un directorio denominado /proc/parport/0.
Si su núcleo no detectó el número de IRQ usado por su puerto, insmod plip fallará; en este caso, simplemente
escriba el número adecuado en /proc/parport/0/irq y vuelva a invocar a insmod.
Está disponible información completa sobre la administración del puerto paralelo en el archivo Documentation/
parport.txt, que es parte del código fuente de su núcleo.
12.7.3. PPP
Debido a la naturaleza, el tamaño y la complejidad de PPP, este ha sido movido a su propio COMO . El COMO so-
bre PPP todavía es un documento del Proyecto de documentación de Linux (http://www.linuxdoc.org) pero
la página oficial del mismo está en el sitio web thelinuxreview.com (http://www.thelinuxreview.com), sec-
ción PPP (http://www.thelinuxreview.com/howto/ppp).
12.8.1. ARCNet
Los nombres de dispositivo ARCNet son arc0e, arc1e, arc2e etc. o arc0s, arc1s, arc2s etc. El núcleo asigna
arc0e o arc0s a la primer tarjeta detectada y el resto se asigna secuencialmente en el orden en que se detectan.
La letra al final significa si Usted ha seleccionado el formato de paquetes de encapsulamiento Ethernet o el
formato de paquetes RFC1051.
Opciones de compilación del núcleo:
Network device support --->
[*] Network device support
<*> ARCnet support
[ ] Enable arc0e (ARCnet "Ether-Encap" packet format)
[ ] Enable arc0s (ARCnet RFC1051 packet format)
Una vez que tiene construido su núcleo adecuadamente para soportar su tarjeta Ethernet entonces es fácil la
configuración de la tarjeta.
Típicamente Usted utilizará algo como:
189
Capítulo 12. Generalidades sobre redes
El soporte Appletalk le permite a su máquina GNU/Linux operar en conjunto con con redes Apple. Un uso
importante para esto es compartir recursos tales como impresoras y discos entre sus computadoras Apple y
GNU/Linux . Se necesita software adicional denominado netatalk. Wesley Craig netatalk@umich.edu repre-
senta un equipo denominado el “Grupo Unix de Investigación de Sistemas” en la Universidad de Michi-
gan y han producido el paquete netatalk que brinda software que implementa la pila del protocolo Apple-
talk y algunos programas útiles. El paquete netatalk debería haber sido proporcionado con su distribución
GNU/Linux o tendrá que bajarlo por FTP desde la página web del mismo en la Universidad de Michigan
(ftp://terminator.rs.itd.umich.edu/unix/netatalk/).
Para construir e instalar el paquete, Usted debería hacer:
Usted puede querer editar el archivo Makefile antes de invocar a make para compilar el software. Específica-
mente, podría querer cambiar la variable DESTDIR que define dónde se instalarán luego los archivos. El valor
predeterminado, /usr/local/atalk, es bastante seguro.
eth0
El programa demonio Appletalk añadirá detalles extra una vez que se ejecute.
190
Capítulo 12. Generalidades sobre redes
/tmp Scratch
/home/ftp/pub "Área pública"
... que exportaría su sistema de archivos /tmp como un volumen AppleShare denominado “Scratch” y su
directorio FTP público como un volumen AppleShare denominado “Área pública”. Los nombres de volumen
no son obligatorios, el demonio escogerá alguno por Usted, pero no causará daño alguno si los especifica.
TricWriter:\
:pr=lp:op=cg:
... que haría que una impresora denominada “TricWriter” esté disponible en su red Appletalk, y todos los
trabajos aceptados se imprimirían directamente en la impresora Linux lp (como esté definida en el archivo
/etc/printcap), utilizando CUPS . La entrada op=cg dice que el usuario Linux cg es el operador de la impre-
sora.
root# /usr/local/atalk/etc/rc.atalk
... y todo debería iniciar y ejecutar correctamente. No debería ver mensajes de error y el software enviará los
mensajes a la consola indicando cada etapa a medida que se inicia.
191
Capítulo 12. Generalidades sobre redes
1. Puede necesitar iniciar el soporte para Appletalk antes de configurar su red IP. Si tiene problemas ini-
ciando los programas Appletalk, o si después que los inició tiene problemas con su red IP, entonces debe
intentar iniciar el software Appletalk antes de ejecutar su archivo /etc/rc.d/rc.inet1.
2. afpd (Apple Filing Protocol Daemon, Demonio del protocolo de archivado de Apple) daña severamente
su disco rígido. Debajo de los puntos de montaje, el mismo crea una serie de directorios denominados
.AppleDesktop y NetworkTrashFolder. Luego, para cada directorio que Usted accede, creará un archi-
vo .AppleDouble debajo del mismo de forma tal que pueda almacenar recursos, etc. Por lo tanto, debe
pensarlo dos veces antes de exportar /, luego pasará mucho tiempo haciendo limpieza.
3. El programa afpd espera contraseñas textuales de las Mac. La seguridad podría ser un problema, por lo
que debe tener cuidado cuando ejecute este demonio en una máquina conectada a la Internet. Tiene que
culparse a Usted mismo si alguien malintencionado hace cosas malas.
4. Las herramientas de diagnóstico existentes como netstat e ifconfig no soportan Appletalk. La información
“en crudo” está disponible en el directorio /proc/net/ si es que la necesita.
12.8.3. ATM
Werner Almesberger <werner.almesberger@lrc.di.epfl.ch> administra un proyecto cuyo objetivo es brin-
dar el soporte para ATM (Asynchronous Transfer Mode – Modo de transferencia asincrónico) para GNU/Linux .
Se puede obtener información sobre el estado corriente del proyecto en el sitio web de ATM en Linux
(http://linux-atm.sourceforge.net/).
Los protocolos AX25, Netrom y Rose se cubren en el COMO sobre AX25 (http://linuxdoc.org/HOWTO/
AX25-HOWTO.html). Estos protocolos son utilizados por los operadores de radio aficionado de todo el mun-
do en experimentación de transmisión de paquetes por radio.
La mayoría del trabajo de implementación de estos protocolos ha sido realizada por Jonathon Naylor,
jsn@cs.nott.ac.uk, y ahora es Jeff Tranter (tranter@pobox.com) quien mantiene el COMO .
192
Capítulo 12. Generalidades sobre redes
12.8.5. DECNet
El núcleo estable corriente (2.4) incluye soporte para DECNet. Con Mandrake Linux ha estado disponible
desde el núcleo 2.2.
12.8.6. FDDI
Los nombres de dispositivo de FDDI son fddi0, fddi1, fddi2 etc. El núcleo asigna fddi0 a la primer tarjeta
que detecte y el resto se asigna secuencialmente en el orden que se detectan.
Larry Stefani, lstefani@ultranet.com, ha desarrollado un controlador para las tarjetas FDDI EISA y PCI.
Opciones de compilación del núcleo:
Network device support --->
[*] FDDI driver support
[*] Digital DEFEA and DEFPA adapter support
Si su núcleo está construido para soportar el controlador FDDI y está instalado, la configuración de la interfaz
FDDI es casi idéntica a la de una interfaz Ethernet. Simplemente especifique el nombre apropiado de interfaz
FDDI en los comandos ifconfig y route.
Mike McLagan, mike.mclagan@linux.org, desarrolló el soporte y las herramientas de configuración para Re-
levo de tramas.
Corrientemente, los únicos FRADs que sabemos que están soportados son S502A, S502E y S508 de San-
goma Technologies (http://www.sangoma.com/) así como también los de Emerging Technologies (http:
//www.etinc.com/).
Para configurar los dispositivos FRAD y DLCI luego que ha reconstruido su núcleo, necesitará las herramien-
tas de configuración de Relevo de tramas. Estas están disponibles en ftp.invlogic.com (ftp://ftp.invlogic.
com/pub/linux/fr/).
La compilación e instalación de las herramientas es simple, pero la falta de un archivo Makefile de nivel
superior hace que el proceso sea bastante manual:
193
Capítulo 12. Generalidades sobre redes
Note que los comandos previos utilizan la sintaxis de sh, si usted utiliza csh (por ejemplo tcsh), el bucle for
tendrá una apariencia distinta.
Luego de instalar las herramientas, necesita crear un archivo /etc/frad/router.conf. Puede usar esta plan-
tilla, que es una versión modificada de uno de los archivos de ejemplo:
# /etc/frad/router.conf
# Esta es una plantilla de configuración para Relevo de tramas.
# Se incluyen todas las etiquetas. Los valores por defecto están
# basados en el código que se suministra con los controladores
# para
# DOS de la tarjeta Sangoma S502A.
#
# Un ’#’ en cualquier lugar de una lı́nea es un comentario
# Los blancos se ignoran (también puede indentar con Tab)
# Las entradas [] desconocidas y las claves desconocidas se ignoran
#
[Devices]
Count=1 # cantidad de dispositivos a configurar
Dev_1=sdla0 # el nombre de un dispositivo
#Dev_2=sdla1 # el nombre de un dispositivo
#
#
# Configuración especı́fica del dispositivo
#
#
#
# El primer dispositivo es un Sangoma S502E
#
[sdla0]
Type=Sangoma # Tipo de dispositivo a conifgurar, por
# el momento sólo se reconoce SANGOMA
#
# Estas claves son especı́ficas al tipo ’Sangoma’
#
# El tipo de tarjeta Sangoma - S502A, S502E, S508
Board=S502E
#
# El nombre del firmware de prueba para la tarjeta Sangoma
# Testware=/usr/src/frad-0.10/bin/sdla_tst.502
#
# El nombre del firmware FR
# Firmware=/usr/src/frad-0.10/bin/frm_rel.502
#
Port=360 # Puerto para esta tarjeta particular
Mem=C8 # Ventana de dirección de mem, A0-EE,
# depende de la tarjeta
194
Capítulo 12. Generalidades sobre redes
#
# El segundo dispositivo es alguna otra tarjeta
#
# [sdla1]
# Type=FancyCard # Tipo de dispositivo a configurar
# Board= # Tipo de tarjeta Sangoma
# Key=Value # valores especı́ficos a este tipo de dispositivo
#
# Parámetros predeterminados de configuración DLCI
# Se pueden obviar en las configuraciones especı́ficas de DLCI
#
CIRfwd=64 # CIR forward 1 - 64
# Bc_fwd=16 # Bc forward 1 - 512
# Be_fwd=0 # Be forward 0 - 511
# CIRbak=16 # CIR backward 1 - 64
# Bc_bak=16 # Bc backward 1 - 512
# Be_bak=0 # Be backward 0 - 511
#
# Configuración de DLCI
# Todos estos son opcionales. La convención de nombrado es
# [DLCI_D<numdispositivo>_<Num_DLCI>]
#
[DLCI_D1_16]
# IP=
# Net=
# Mask=
# Flags definidos por Sangoma: TXIgnore,RXIgnore,BufferFrames
# DLCIFlags=TXIgnore,RXIgnore,BufferFrames
# CIRfwd=64
# Bc_fwd=512
# Be_fwd=0
# CIRbak=64
# Bc_bak=512
# Be_bak=0
[DLCI_D2_16]
# IP=
# Net=
# Mask=
# Flags definidos por Sangoma: TXIgnore,RXIgnore,BufferFrames
# DLCIFlags=TXIgnore,RXIgnore,BufferFrames
# CIRfwd=16
# Bc_fwd=16
# Be_fwd=0
# CIRbak=16
# Bc_bak=16
# Be_bak=0
195
Capítulo 12. Generalidades sobre redes
Cuando ha construido su archivo /etc/frad/router.conf, sólo falta el paso de configuración de los dispo-
sitivos propiamente dichos. Esto es sólo un poquito más complicado que la configuración de un dispositivo
normal de red, debe recordar de activar el dispositivo FRAD antes que los dispositivos de encapsulado DLCI.
Es mejor poner a estos comandos en un script del shell debido a la cantidad de los mismos:
#!/bin/sh
# Configurar el hardware FRAD y los parámetros DLCI
/sbin/fradcfg /etc/frad/router.conf || exit 1
/sbin/dlcicfg file /etc/frad/router.conf
#
# Activar el dispositivo FRAD
ifconfig sdla0 up
#
# Configurar las inerfaces de encapsulado DLCI y el ruteo
ifconfig dlci00 192.168.10.1 pointopoint 192.168.10.2 up
route add -net 192.168.10.0 netmask 255.255.255.0 dlci00
#
ifconfig dlci01 192.168.11.1 pointopoint 192.168.11.2 up
route add -net 192.168.11.0 netmask 255.255.255.0 dlci00
#
route add default dev dlci00
#
El protocolo IPX y el sistema de archivos NCP se cubren con más detalle en el COMO acerca de IPX (http:
//linuxdoc.org/HOWTO/IPX-HOWTO.html).
Los protocolos AX25, Netrom y Rose se cubren en el COMO sobre AX25 (http://linuxdoc.org/HOWTO/
AX25-HOWTO.html). Estos protocolos son utilizados por los operadores de radio aficionado de todo el mun-
do en experimentación de transmisión de paquetes por radio.
La mayoría del trabajo de implementación de estos protocolos ha sido realizada por Jonathon Naylor,
jsn@cs.nott.ac.uk.
196
Capítulo 12. Generalidades sobre redes
Los protocolos AX25, Netrom y Rose se cubren en el COMO sobre AX25 (http://linuxdoc.org/HOWTO/
AX25-HOWTO.html). Estos protocolos son utilizados por los operadores de radio aficionado de todo el mun-
do en experimentación de transmisión de paquetes por radio.
La mayoría del trabajo de implementación de estos protocolos ha sido realizada por Jonathon Naylor,
jsn@cs.nott.ac.uk.
STRIP es un protocolo diseñado específicamente para un rango de módems de radio Metricom para un pro-
yecto de investigación que está siendo conducido por la Universidad de Stanford denominado el Proyecto
MosquitoNet (http://mosquitonet.Stanford.edu). Hay un montón de lectura interesante aquí, incluso si
Usted no está directamente interesado en el proyecto.
Las radios Metricom se conectan a un puerto serio, emplean tecnología de espectro amplio y son capaces
típicamente de velocidades del orden de los 100Kbps. En el sitio web de Metricom (http://www.metricom.
com/) está disponible información sobre las radios Metricom.
Por el momento, las herramientas y utilitarios de red estándar no soportan el controlador STRIP, por lo que
tendrá que bajar algunas herramientas personalizadas del servidor web MosquitoNet. En la página de soft-
ware de MosquitoNet (http://mosquitonet.Stanford.edu/software.html) están disponibles los detalles
del software que necesita.
Un resumen de la configuración es que Usted utilice un programa slattach modificado para configurar la
disciplina de un dispositivo tty serie a STRIP y luego configure el dispositivo st[0-9] resultante como o haría
para Ethernet con una excepción importante: por motivos técnicos STRIP no soporta el protocolo ARP, por lo
que Usted debe configurar manualmente las entradas ARP para cada uno de los hosts de su sub-red. Esto no
debería resultar muy costoso.
197
Capítulo 12. Generalidades sobre redes
La configuración de Token Ring es idéntica a la de Ethernet, con la excepción del nombre de dispositivo de
red a configurar.
12.8.14. X.25
X.25 es un protocolo de conmutación de paquetes basado en circuitos definido por ITU-T (La Sección de
Estandarización de las Telecomunicaciones de la International Telecommunications Union – Union Internacional
de Telecomunicaciones, un cuerpo de estándares reconocido por las compañías de telecomunicaciones en la
mayor parte del mundo). Se está trabajando sobre una implementación de X.25 y LAPB y los núcleos recientes
(desde 2.1.*) incluyen el trabajo en progreso.
Jonathon Naylor <jsn@cs.nott.ac.uk> está liderando el desarrollo y se ha establecido una lista de distri-
bución de correos para discutir los temas relacionados con X.25 bajo GNU/Linux . Para suscribirse, envíe un
mensaje a majordomo@vger.rutgers.edu con el texto subscribe linux-x25 en el cuerpo del mensaje.
La tarjeta WaveLAN es una tarjeta de red LAN inalámbrica de espectro amplio. La tarjeta se parece mucho a
una tarjeta Ethernet en la práctica, y se configura de manera muy similar.
Puede obtener información sobre la tarjeta WaveLAN en el sitio web ORiNOCCO (http://www.orinocowireless.
com/).
198
Capítulo 12. Generalidades sobre redes
199
Capítulo 12. Generalidades sobre redes
A pesar que Usted podrá extender cables PLIP sobre distancias largas, debería evitarlo de ser posible. Las
especificaciones para el cable le permiten una longitud del cable de más o menos 1 metro. Por favor, tenga
sumo cuidado cuando extienda cables PLIP largos ya que las fuentes de campos electromagnéticos fuertes,
tales como la luz, las líneas de energía y los transmisores de radio, pueden interferir con, y a veces dañar a,
su controladora. Si Usted realmente desea conectar dos computadoras sobre una distancia larga, en realidad
debería buscar obtener un par de tarjetas thin-Ethernet y extender un cable coaxial.
T T T T
donde la | en cada extremo representa un terminador, ====== representa una longitud de cable coaxial con
conectores BNC en cada extremo y la T representa un conector “pieza T”. Usted debería mantener la longitud
del cable entre la “pieza T” y la tarjeta Ethernet real en la PC lo más corta posible, idealmente la “pieza T”
estará conectada directamente a la tarjeta Ethernet.
200
Apéndice A. Dónde encontrar información adicional
Si bien aquí hemos descripto la interfaz de MandrakeSecurity y revelado algunos detalles acerca de las redes
y la seguridad, este manual simplemente no es suficiente si Usted no tiene conocimiento alguno acerca de
algunas características específicas propuestas aquí. Es por esto que aquí le proponemos algunos vínculos a
varios documentos en la web que le ayudarán a comprender los mecanismos reales que están “por debajo” de
MandrakeSecurity .
Bibliografı́a
Caché de DNS: Bind de ICS (http: // www. isc. org/ products/ BIND/ ) .
Linux FreeS/WAN: implementación de IPSEC & IKE para Linux (http: // www. xs4all. nl/ ~freeswan ) .
201
Apéndice A. Dónde encontrar información adicional
202
Apéndice B. La Licencia Pública General GNU
El texto siguiente es la licencia GPL que se aplica a la mayoría de los programas que se encuentran en las
distribuciones Mandrake Linux.
Esta es una traducción al castellano no oficial de la Licencia Pública General GNU. No fue publicada por la
Free Software Foundation, y legalmente no establece los términos de distribución de software que usa la GPL
GNU-- sólo el texto original en inglés de la GPL GNU hace eso. Sin embargo, esperamos que esta traducción
ayudará a las personas que hablan castellano a comprender mejor la GPL GNU.
Traducido por Fabian Israel Mandelbaum en Mayo de 2000. Buenos Aires. Argentina.
Versión 2, Junio 1991 Copyright (C) 1989, 1991 Free Software Foundation, Inc. 59 Temple Place - Suite 330,
Boston, MA 02111-1307, USA
Cualquiera puede copiar y distribuir copias al pie de la letra del documento de esta licencia, pero no se permite
cambiarla.
B.1. Preámbulo
Las licencias para la mayoría del software están diseñadas para quitarle su libertad de compartirlo y cambiarlo.
En contraste, la Licencia Pública General GNU pretende garantizarle su libertad para compartir y cambiar el
software libre -- para asegurarse que el software es libre para todos sus usuarios. Esta Licencia Pública General
se aplica a la mayoría del software de la “Free Software Foundation” y a cualquier otro programa cuyos autores
se comprometan a usarla. (No obstante, algún otro software de la Free Software Foundation está cubierto por
la Licencia Pública General de Biblioteca GNU LGPL). Usted también puede aplicarla a sus programas.
Cuando hablamos de software libre, nos estamos refiriendo a libertad, no al precio. Nuestras Licencias Pú-
blicas Generales están diseñadas para asegurarse que Usted tiene la libertad de distribuir copias de software
libre (y, si Usted lo desea, puede cobrar por este servicio), que Usted recibe el código fuente o puede obtenerlo
si así lo desea, que Usted puede cambiar el software o usar piezas del mismo en programas libres nuevos; y
que Usted sabe que puede hacer estas cosas.
Para proteger sus derechos, necesitamos hacer restricciones que prohíban a cualquiera el negarle a Usted estos
derechos o pedirle a Usted que renuncie a los derechos. Estas restricciones se traducen en ciertas responsabi-
lidades para Usted si es que distribuye copias del software, o si lo modifica.
Por ejemplo, si Usted distribuye copias de tal programa, ya sea gratis o con un costo, Usted debe darle a quie-
nes lo reciban todos los derechos que Usted posee. Usted debe asegurarse que ellos, también, reciban o puedan
obtener el código fuente. Y Usted debe mostrarles estos términos para que ellos conozcan sus derechos.
Nosotros protegemos sus derechos con dos pasos:
203
Apéndice B. La Licencia Pública General GNU
• 0. Esta licencia se aplica a cualquier programa u otro trabajo que contiene una nota puesta por quien posee
el copyright diciendo que puede ser distribuido bajo los términos de esta Licencia Pública General. En
adelante, el “Programa” se refiere a cualquiera de tales programas o trabajos, y un “trabajo basado en el
Programa” significa o el Programa o cualquier trabajo derivado bajo la ley del copyright: es decir, un trabajo
conteniendo el Programa o una porción del mismo, ya sea textual o con modificaciones y/o traducciones
a otro idioma. (En adelante, traducción se incluye sin limitación en el término “modificación”). Se dirige a
cada titular de la licencia como “Usted”.
Actividades que no sean la copia, distribución y modificación no están cubiertas por esta Licencia; están
fuera del campo de la misma. El acto de ejecutar el Programa no está restringido, y la respuesta del Programa
está cubierta sólo si su contenido constituye un trabajo basado en el Programa (independiente de haber sido
el resultado de la ejecución del Programa). Que eso sea cierto depende de lo que haga el Programa.
• 1. Usted puede copiar y distribuir copias textuales del código fuente del Programa como lo recibió, en
cualquier medio, si Usted publica en cada copia visible y adecuadamente una nota de copyright apropiada
y la renuncia de garantía; mantiene intactas todas las notas que refieren a esta Licencia y a la ausencia de
garantía alguna; y le da a cualquier otra persona que reciba el Programa una copia de esta Licencia junto
con el Programa.
Usted puede cobrar un honorario por el acto físico de transferir una copia, y Usted puede, a su elección,
ofrecer la protección de la garantía a cambio de un honorario.
• 2. Usted puede modificar su copia o sus copias del Programa o cualquier porción del mismo, conformando
entonces un trabajo basado en el Programa, y copiar y distribuir tales modificaciones o trabajo bajo los
términos de la Sección 1 arriba expuestos, si Usted también cumple con todas estas condiciones:
1. Usted debe hacer que los archivos modificados tengan notas prominentes que digan que Usted cambió
los archivos y la fecha de cualquier cambio.
2. Usted debe hacer que cualquier trabajo que Usted distribuya o publique, que en todo o en parte contiene
o está derivado del Programa o cualquier parte del mismo, sea licenciado como un todo sin cargo a todas
las terceras partes bajo los términos de esta Licencia.
3. Si el Programa modificado normalmente lee comandos interactivamente cuando se ejecuta, Usted puede
hacer que, cuando el mismo inicie la corrida de tal uso interactivo de la manera más común, el Programa
imprima o muestre un anuncio incluyendo la nota de copyright apropiada y una nota que indique que
no hay garantía alguna (caso contrario, que diga que Usted proporciona una garantía) y que los usuarios
pueden redistribuir el programa bajo estas condiciones, y diciéndole al usuario como ver una copia de
esta Licencia. (Excepción: si el Programa en sí mismo es interactivo pero normalmente no imprime tal
anuncio, no es necesario que su trabajo basado en el Programa imprima un anuncio).
Estos requisitos se aplican al trabajo modificado como un todo. Si secciones identificables de ese trabajo no
están derivadas del Programa, y pueden considerarse razonablemente un trabajo separado e independiente
por sí mismas, entonces esta Licencia, y sus términos, no se aplican a dichas secciones cuando Usted las
distribuye como trabajos separados. Pero cuando Usted distribuye las mismas secciones como parte de un
todo el cual es un trabajo basado en el Programa, la distribución del todo debe ser bajo los término de esta
Licencia, cuyos permisos para otras licencias se extienden al todo, y por lo tanto, a todas y cada una de las
partes sin importar quien las escribió.
Por lo tanto, la intención de esta sección no es reclamar derechos o competir por sus derechos sobre un
trabajo escrito enteramente por Usted; sino, la intención es ejercitar el derecho de controlar la distribución
de trabajos derivativos o colectivos basados en el Programa.
Además, el mero agregado de otro trabajo que no esté basado en el Programa junto con el Programa (o con
un trabajo basado en el Programa) sobre un volumen de almacenamiento o medio de distribución no pone
al otro trabajo bajo el marco de esta Licencia.
• 3. Usted puede copiar y distribuir el Programa (o un trabajo basado en el mismo, bajo la Sección 2) en forma
de código objeto o ejecutable bajo los términos de las Secciones 1 y 2 anteriores siempre y cuando Usted
también haga algo de lo siguiente:
204
Apéndice B. La Licencia Pública General GNU
1. Lo acompaña con el código fuente legible por la máquina completo, el cual debe ser distribuido bajo los
términos de las Secciones 1 y 2 anteriores sobre un medio comúnmente usado para el intercambio de
software; o,
2. Lo acompaña con una oferta escrita, válida por al menos tres años, de dar a cualquier tercero, por un
cargo no mayor a su costo de realizar físicamente la distribución fuente, una copia completa legible por
la máquina del código fuente correspondiente, a ser distribuido bajo los términos de las Secciones 1 y 2
anteriores sobre un medio comúnmente usado para el intercambio de software; o,
3. Lo acompaña con la información que Usted recibió como la oferta de distribuir el código fuente corres-
pondiente. (Esta alternativa sólo está permitida para distribución no comercial y sólo si Usted recibió
el programa en forma de código objeto o ejecutable con tal oferta, de acuerdo con la Sub-sección b
anterior).
El código fuente para un trabajo significa la forma preferida del mismo para hacerle modificaciones. Para
un trabajo ejecutable, el código fuente completo significa todo el código fuente para todos los módulos
que contiene, más cualquier archivo asociado de definición de interfaces, más todos los scripts usados para
controlar la compilación e instalación del ejecutable. Sin embargo, como una excepción especial, el código
fuente distribuido no necesita incluir cosa alguna que normalmente se distribuya (ya sea en forma fuente
o binaria) con los componentes mayores (compilador, núcleo, y así sucesivamente) del sistema operativo
sobre el cual corre el ejecutable, a menos que dicho componente en sí mismo acompañe al ejecutable.
Si la distribución del ejecutable o el código objeto se hace ofreciendo acceso a la copia desde un sitio desig-
nado, entonces el hecho de ofrecer la copia del código fuente desde el mismo sitio cuenta como distribución
del código fuente, incluso si los terceros no están obligados a copiar los fuentes junto con el código objeto.
• 4. Usted no puede copiar, modificar, sub-licenciar, o distribuir el Programa excepto como se provee ex-
presamente bajo esta Licencia. Cualquier intento contrario de copiar, modificar, sub-licenciar o distribuir
el Programa está prohibido, y anulará automáticamente sus derechos sobre esta Licencia. Sin embargo, a
las partes que han recibido copias, o derechos, de Usted bajo esta Licencia no se les anularán sus licencias
siempre y cuando tales partes cumplan la misma por completo.
• 5. No es necesario que Usted acepte esta Licencia, ya que Usted no la firmó. Sin embargo, nada más le ga-
rantiza a Usted el permiso para modificar o distribuir el Programa o sus trabajos derivativos. Estas acciones
están prohibidas por ley si Usted no acepta esta Licencia. Por lo tanto, al modificar o distribuir el Programa
(o cualquier trabajo basado en el Programa), Usted indica su aceptación de esta Licencia para hacerlo, y
todos sus términos y condiciones para copiar, distribuir o modificar el Programa o los trabajos basados en
el mismo.
• 6. Cada vez que Usted redistribuye el Programa (o cualquier trabajo basado en el Programa), quien lo recibe
automáticamente recibe una licencia del licenciatario original para copiar, distribuir o modificar el Programa
sujeto a estos términos y condiciones. Usted no puede imponer cualquier otra restricción sobre el ejercicio
de los derechos aquí garantizados de quienes lo reciban. Usted no es responsable de forzar el cumplimiento
de esta Licencia por parte de terceros.
• 7. Si, como consecuencia de un veredicto de una corte o alegato de usurpación de una patente o cualquier
otra razón (no limitada a cuestiones de patentes), se le imponen condiciones (ya sea por orden de la corte,
convenio u otros) que contradicen las condiciones de esta Licencia, esto no lo libera a Usted de las condicio-
nes de esta Licencia. Si Usted no puede hacer la distribución de manera de satisfacer simultáneamente sus
obligaciones bajo esta Licencia y cualquier otra u otras obligaciones pertinentes, entonces como consecuen-
cia, Usted no puede distribuir el Programa en absoluto. Por ejemplo, si una licencia de patente no permite la
distribución sin regalías del Programa por todos aquellos que reciban copias directamente o indirectamente
a través de Usted, entonces la única forma en la cual Usted puede satisfacer tanto esta Licencia como la otra
sería contenerse en absoluto de distribuir el Programa.
Si, bajo cualquier circunstancia particular, cualquier porción de esta sección se invalida o no se puede forzar,
se pretende aplicar el balance de esta sección y la sección como un todo pretende aplicar en otras circuns-
tancias.
No es el propósito de esta sección inducir a Usted a violar patente alguna o cualquier otro reclamo de dere-
chos de propiedad o debatir la validez de cualquiera de tales reclamos; esta sección tiene el sólo propósito
de proteger la integridad del sistema de distribución de software libre, que está implementado por prácticas
de licencia pública. Mucha gente ha hecho contribuciones generosas al amplio rango de software distribui-
do por medio de ese sistema confiando en la aplicación consistente de dicho sistema; queda a criterio del
205
Apéndice B. La Licencia Pública General GNU
autor/donor decidir si él o ella está dispuesto a distribuir software por medio de cualquier otro sistema y
una licencia no puede imponer esa elección.
El propósito de esta sección es dejar bien en claro lo que se cree es una consecuencia del resto de esta
Licencia.
• 8. Si la distribución y/o el uso del Programa está restringido en ciertos países ya sea por patentes o por inter-
fases con copyright, el dueño del copyright original que pone al Programa bajo esta Licencia puede agregar
una limitación explícita a la distribución geográfica excluyendo dichos países, por lo cual la distribución
sólo está permitida en, o entre, los países no así excluidos. En tal caso, esta Licencia incorpora la limitación
como si estuviese escrita en el cuerpo de esta Licencia.
• 9. La Free Software Foundation puede publicar versiones revisadas y/o nuevas de la Licencia Pública Gene-
ral de vez en cuando. Tales versiones nuevas serán similares en espíritu a la versión presente, pero pueden
diferir en detalle para tratar problemas o intereses nuevos.
A cada versión se le da un número de versión distintiva. Si el Programa especifica un número de versión
de esta Licencia que aplica al mismo y a “cualquier versión posterior”, Usted tiene la opción de seguir los
términos y condiciones de cualquiera de esas versiones o de cualquier versión posterior publicada por la
Free Software Foundation. Si el Programa no especifica un número de versión de esta Licencia, Usted puede
elegir cualquier versión publicada alguna vez por la Free Software Foundation.
• 10. Si Usted desea incorporar partes del Programa dentro de otros Programas libres cuyas condiciones de
distribución son diferentes, escriba al autor para pedirle permiso. Para el software cuyo copyright posee
la Free Software Foundation, escriba a la Free Software Foundation; a veces, nosotros hacemos excepcio-
nes a esto. Nuestra decisión estará guiada por los dos objetivos de preservar el estado libre de todos los
derivativos de nuestro software libre y de promover el compartir y volver a usar el software en general.
•
SIN GARANTÍA
DEBIDO A QUE EL PROGRAMA SE LICENCIA SIN CARGO ALGUNO, NO HAY GARANTÍA PARA EL
MISMO, A LA EXTENSIÓN PERMITIDA POR LA LEY APLICABLE. EXCEPTO CUANDO SE INDIQUE
LO CONTRARIO POR ESCRITO LOS POSEEDORES DEL COPYRIGHT Y/O OTROS TERCEROS PRO-
VEEN EL PROGRAMA “TAL CUAL ESTÁ” SIN GARANTÍAS DE TIPO ALGUNO, YA SEAN EXPRESAS
O IMPLÍCITAS, INCLUYENDO, PERO NO ESTANDO LIMITADO A, LAS GARANTÍAS IMPLÍCITAS DE
COMERCIALIZACIÓN Y CONVENIENCIA PARA UN PROPÓSITO EN PARTICULAR. USTED ASUME
TODOS LOS RIESGOS SOBRE LA CALIDAD Y RENDIMIENTO DEL PROGRAMA. SI EL PROGRAMA
DEMUESTRA SER DEFECTUOSO, USTED ASUME EL COSTO DE CUALQUIER SERVICIO, REPARA-
CIÓN O CORRECCIÓN NECESARIOS.
• EL POSEEDOR DEL COPYRIGHT, O CUALQUIER TERCERO QUE PUEDE MODIFICAR Y/O DISTRI-
BUIR EL PROGRAMA COMO SE PERMITE ARRIBA, NO ESTARÁ EXPUESTO DE MANERA ALGUNA
A USTED., A MENOS QUE SE REQUIERA POR LEY APLICABLE O SE ACUERDE POR ESCRITO, A
DAÑOS INCLUYENDO CUALQUIER DAÑO GENERAL, ESPECIAL, INCIDENTE O CONSECUENTE
DEBIDO AL USO O A LA IMPOSIBILIDAD DE HACER USO DEL PROGRAMA (INCLUYENDO, PERO
NO LIMITADO A, LA PÉRDIDA DE DATOS O QUE LOS DATOS SE VUELVAN IMPRECISOS O PÉRDI-
DAS SOSTENIDAS POR USTED O TERCEROS O UNA FALLA DEL PROGRAMA PARA OPERAR CON
CUALQUIER OTRO PROGRAMA), INCLUSO SI DICHO POSEEDOR U OTROS TERCEROS HAN SIDO
AVISADOS DE LA POSIBILIDAD DE TALES DAÑOS.
FIN DE LOS TÉRMINOS Y CONDICIONES
206
Apéndice B. La Licencia Pública General GNU
Los comandos hipotéticos “mostrar g” y “mostrar c” deberían mostrar las partes apropiadas de la Licencia
Pública General. Por supuesto que los comandos que Usted use pueden denominarse de otra forma en vez de
“mostrar g” y “mostrar c”; incluso pueden ser clic con el ratón o elementos del menú – cualquier cosa que sea
adecuada para su programa.
También debería hacer que su empleador (si Usted trabaja como programador) o su escuela, si correspon-
de, firmen una “renuncia al copyright” para el programa, si es necesario. Aquí tiene un ejemplo; cambie los
nombres adecuadamente:
Yoyodine, Inc., por la presente renuncia a todos los intereses del copyright del programa “Gnomovision” (que
pasa a sus compiladores) escrito por Pedro Hacker.
<firma de Juan Perez>, 1 de Abril 2000 Juan Perez, Presidente de Compañía
Esta Licencia Pública General no permite incorporar a su programa dentro de programas propietarios. Si su
programa es una biblioteca de subrutinas, Usted puede considerar más útil el permitir enlazar aplicaciones
propietarias con la biblioteca. Si esto es lo que Usted desea hacer, use la Licencia Pública General de Biblioteca
GNU en lugar de esta Licencia.
207
Apéndice B. La Licencia Pública General GNU
208
Apéndice C. Licencia de Documentación Libre GNU
Copyright (C) 2000 Free Software Foundation, Inc. 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA Se permite
a todos copiar y distribuir copias textuales del documento de esta licencia, pero cambiar la misma no está permitido.
0. PREÁMBULO
El propósito de esta Licencia es hacer “libre” al manual, libro de texto, u otra documentación escrita, en el sen-
tido de libertad: para asegurar a cualquiera la libertad efectiva de copiar o volver a distribuir el material, con
o sin modificación, ya sea comercialmente o no comercialmente. En segundo término, esta Licencia preserva
para el autor y para quien lo publica una forma de obtener crédito por su trabajo, a la vez que no se pueden
considerar responsables por las modificaciones hechas por otros.
Esta Licencia es una especie de “copyleft”, lo cual significa que los trabajos derivados del documento deben
ser, en sí mismos, libres en el mismo sentido. La misma complementa a la Licencia Pública General GNU, la
cual es una licencia “copyleft” diseñada para el software libre.
Hemos diseñado esta licencia para poder usarla para los manuales del software libre, debido a que el software
libre necesita documentación libre: un programa libre debería estar acompañado de manuales que proporcio-
nen las mismas libertades que proporciona dicho programa. Pero esta Licencia no está limitada a los manuales
de software; la misma se puede usar para cualquier trabajo de textos, independientemente del tema o si se
publica como libro impreso. Recomendamos esta Licencia principalmente para trabajos cuyo propósito sea
instructivo o de referencia.
1. APLICABILIDAD y DEFINICIONES
Esta Licencia aplica a cualquier manual o cualquier otro trabajo que contiene una nota del propietario del
copyright que diga que se puede distribuir bajo los términos de esta Licencia. En adelante, “Documento”
refiere a cualquiera de dichos manuales o trabajos. Cualquier miembro del público disfruta de la licencia, y se
denominará al mismo como “Usted”.
Una “Versión Modificada” del Documento significa cualquier trabajo que contiene al Documento o a una
porción del mismo, ya sea copiada textualmente, o con modificaciones y/o traducida a otro idioma.
Una “Sección Secundaria” es un apéndice nombrado o una sección de carácter central del Documento que
trata exclusivamente con la relación de los publicadores o autores del Documento con el tema general del
Documento (o con temas relacionados) y no contiene cosa alguna que pueda caer directamente dentro de ese
tema general. (Por ejemplo, si el Documento es una parte de un libro de texto sobre matemáticas, una Sección
Secundaria puede no explicar matemática alguna.) La relación puede ser sólo una cuestión de conexión histó-
rica con el tema o con temas relacionados, o de posición legal, comercial, filosófica, ética, o política respecto de
dichos temas
Las “Secciones Invariantes” son ciertas Secciones Secundarias cuyos títulos se designan, como parte de esas
Secciones Invariantes, en la nota que dice que el Documento se libera bajo esta Licencia.
209
Apéndice C. Licencia de Documentación Libre GNU
Los “Textos de Cubierta” son ciertos pasajes de texto pequeños que se listan, tales como Textos de Tapa o
Textos de Contra-tapa, en la nota que dice que el Documento se libera bajo esta Licencia.
Una copia “Transparente” del Documento significa una copia legible por una máquina, representada en un
formato cuya especificación esté disponible al público general, cuyo contenido se pueda ver y editar directa
e inmediatamente con editores de texto genéricos o (para las imágenes compuestas de pixels) programas
genéricos de pintado o (para los dibujos) algún editor de dibujos disponible ampliamente, y que es adecuado
como entrada de formateadores de texto o para la traducción automática a una variedad de formatos aptos
para usar como entrada de formateadores de texto. Una copia hecha en un formato que de otra forma sería
Transparente cuya anotación ha sido diseñada para frustrar o desalentar la modificación subsecuente hecha
por sus lectores no es Transparente. Una copia que no es “Transparente” se denomina “Opaca”.
Ejemplos de formatos adecuados para copias Transparentes incluyen ASCII plano sin anotación, formato de
entrada Texinfo, formato de entrada LaTeX, SGML o XML usando un DTD disponible públicamente, y HTML
simple de acuerdo a las normas diseñado para que las personas lo puedan modificar. Los formatos Opacos
incluyen PostScript, PDF, formatos propietarios que sólo se pueden leer y editar con procesadores de texto
propietarios, SGML o XML para el cual el DTD y/o las herramientas de procesado no están disponibles para
el público en general, y el HTML generado por la máquina que producen algunos procesadores de texto sólo
con propósitos de presentación.
La “Página del Título” significa, para un libro impreso, la página del título propiamente dicha, más tales
páginas siguientes, necesarias para contener, legiblemente, el material que esta Licencia necesita que aparezca
en la página del título. Para trabajos en formatos que no tienen página de título alguna, la “Página del Título”
significa el texto que está cerca de la aparición más prominente del título del trabajo, que precede al comienzo
del cuerpo del texto.
2. COPIADO TEXTUAL
Usted puede copiar y distribuir el Documento en cualquier medio, ya sea comercialmente o no comercial-
mente, siempre y cuando esta Licencia, las notas acerca del copyright, y la nota de la licencia que dice que
esta Licencia aplica al Documento se reproduzcan en todas las copias, y que Usted no agregue otras condicio-
nes cualesquiera que sean a aquellas de esta Licencia. Usted no puede usar medidas técnicas para obstruir o
controlar la lectura o la copia posterior de las copias que hace o distribuye. Sin embargo, puede aceptar una
compensación a cambio de copias. Si distribuye una cantidad suficientemente grande de copias también debe
seguir las condiciones de la sección 3.
También puede prestar copias, bajo las mismas condiciones que se indican arriba, y puede mostrar copias
públicamente.
3. COPIADO EN CANTIDAD
Si publica copias impresas del Documento en cantidad mayor a 100, y la nota de la licencia del Documento
necesita de Textos de Cubierta, debe incluir las copias en cubiertas que lleven, clara y legiblemente, todos esos
Textos de Cubierta: los Textos de Tapa en la tapa, y los Textos de Contra-tapa en la contra-tapa. Ambas cu-
biertas también deben identificarlo clara y legiblemente como quien publica estas copias. La cubierta frontal
debe presentar el título completo con todas las palabras o el título con igual prominencia y visibilidad. Adi-
cionalmente, Usted puede agregar otro material sobre las cubiertas. El copiado con cambios limitados a las
cubiertas, siempre y cuando las mismas preserven el título del Documento y satisfagan estas condiciones, se
puede tratar como copiado textual en otros sentidos.
Si los textos que necesita cualquier cubierta son muy voluminosos para caber de forma legible, debería poner
los primeros que se listan (tantos como quepan razonablemente) sobre la cubierta real, y continuar con el resto
sobre las páginas adyacentes.
Si publica o distribuye copias Opacas del Documento en cantidad mayor a 100, debe incluir o bien una copia
Transparente legible por una máquina junto con cada copia Opaca, o bien mencionar en o con cada copia Opa-
ca una ubicación en una red de computadoras accesible públicamente que contenga una copia Transparente
completa del Documento, libre de material agregado, que el público general que usa la red tenga acceso a
transferir anónimamente sin cargo alguno usando protocolos de red públicos y normalizados. Si usa la últi-
ma opción, debe tomar pasos razonablemente prudentes cuando comience la distribución de copias Opacas en
cantidad, para asegurar que esta copia Transparente permanecerá accesible de esta forma en la ubicación men-
cionada por lo menos durante un año después de la última vez que distribuyó una copia Opaca (directamente
o por medio de sus agentes o distribuidores) de esa edición al público.
210
Apéndice C. Licencia de Documentación Libre GNU
Se pide, aunque no es necesario, que contacte a los autores del Documento con anterioridad suficiente antes
de comenzar a redistribuir cualquier cantidad grande de copias, de forma de darles una oportunidad para
proporcionarle a Usted una versión actualizada del Documento.
4. MODIFICACIONES
Puede copiar y distribuir una Versión Modificada del Documento bajo las condiciones de las secciones 2 y
3 de arriba, siempre y cuando libere a la Versión Modificada precisamente bajo esta Licencia, con la Versión
Modificada cumpliendo el rol del Documento, de forma tal que se licencia la distribución y modificación de la
Versión Modificada a quienquiera posea una copia de la misma. Adicionalmente, debe hacer lo siguiente en
la Versión Modificada:
A. Usar en la Página del Título (y sobre las cubiertas, si es que hay alguna) un título distinto del título del
Documento, y de aquellos de las versiones previas (las cuales deberían, en caso que existan, estar listadas
en la sección Historia del Documento). Usted puede usar el mismo título que una versión previa si el
publicador original de esa versión da permiso.
B. Listar en la Página del Título, como autores, a una o más personas o entidades responsables por la autoría
de las modificaciones en la Versión Modificada, junto con al menos cinco de los autores principales del
Documento (todos sus autores principales, si el mismo tiene menos de cinco).
C. Mencionar en la Página del Título el nombre del editor de la Versión Modificada, como el editor.
D. Preservar todas las notas de copyright del Documento.
E. Agregar una nota de copyright apropiada para las modificaciones hechas por Usted adyacente a las otras
notas de copyright.
F. Incluir, inmediatamente después de las notas de copyright, una nota de licencia que da permiso al público
general para usar la Versión Modificada bajo los términos de esta Licencia, en la forma que se muestra en
el Apéndice más adelante.
G. Preservar en dicha nota de licencia las listas completas de las Secciones Invariantes y los Textos de Cubierta
necesarios que se dan en la nota de licencia del Documento.
H. Incluir una copia sin alterar de esta Licencia.
I. Preservar la sección titulada "Historia" y el título de la misma, y agregar a la misma un ítem que mencione
al menos el título, año, autores nuevos, y publicador de la Versión Modificada como se da en la Página
del Título. Si en el Documento no hay sección alguna titulada "Historia", crear una que mencione el título,
año, autores, y publicador del Documento como se da en la Página del Título, luego agregar un ítem que
describa la Versión Modificada como se mencionó en la oración anterior.
J. Preservar la ubicación de red, si hay alguna, dada en el Documento para el acceso público a una copia
Transparente del Documento, y de la misma manera las ubicaciones de red dadas en el Documento para
las versiones previas en la que el mismo se basa. Estas pueden colocarse en la sección "Historia". Usted
puede omitir una ubicación de red para un trabajo que fue publicado al menos cuatro años antes que el
Documento propiamente dicho, o si el publicador original de la versión a la cual se refiere da permiso.
K. En cualquier sección titulada "Reconocimientos" o "Dedicatorias", preservar el título de la sección, y pre-
servar en la sección toda la sustancia y el tono de cada uno de los reconocimientos a los contribuyentes
y/o dedicaciones aquí mencionados.
L. Preservar todas las Secciones Invariantes del Documento, inalteradas en su texto y en sus títulos. Los
números de sección o el equivalente no se consideran parte de los títulos de sección.
M. Borrar cualquier sección titulada "Aprobaciones". Tal sección no puede incluirse en la Versión Modificada.
N. No cambiar el título de sección alguna por "Aprobaciones" o de forma tal que genere un conflicto con
cualquier Sección Invariante.
Si la Versión Modificada incluye nuevas secciones o apéndices de carácter central que califican como Secciones
Secundarias y no contienen material copiado del Documento, Usted puede a su elección designar a alguna o
todas estas secciones como invariantes. Para hacer esto, agregue los títulos de las mismas a la lista de Secciones
Invariantes en la nota de licencia de la Versión Modificada. Estos títulos deben ser distintos de los títulos de
cualquier otra sección.
211
Apéndice C. Licencia de Documentación Libre GNU
Usted puede agregar una sección titulada "Aprobaciones", siempre y cuando no contenga otra cosa que apro-
baciones de terceros de su Versión Modificada--por ejemplo, menciones de revisiones hechas por sus pares o
que el texto ha sido aprobado por una organización como la definición fidedigna de una normativa.
Puede agregar un pasaje de hasta cinco palabras como un Texto de Tapa, y un pasaje de hasta veinticinco
palabras como un Texto de Contra-tapa, al final de la lista de Textos de Cubierta en la Versión Modificada.
Sólo puede agregarse un pasaje del Texto de Tapa y uno del Texto de Contra-tapa por medio de una entidad
(o por medio de contratos hechos con una). Si el Documento ya incluye un texto de cubierta para la misma
cubierta, agregado con anterioridad por Usted o por un contrato hecho por la misma entidad en nombre de la
cual Usted está actuando, no puede agregar otro; pero puede reemplazar el anterior, sobre permiso explícito
del publicador previo que agregó el anterior.
El(Los) autor(es) y publicador(es) del Documento no dan por medio de esta Licencia permiso para usar sus
nombres para publicidad para o para imponer o implicar atribución de cualquier Versión Modificada.
5. COMBINANDO DOCUMENTOS
Usted puede combinar el Documento con otros documentos liberados bajo esta Licencia, bajo los términos
definidos en la sección 4 de arriba para las versiones modificadas, siempre y cuando incluya en la combinación
todas las Secciones Invariantes de todos los documentos originales, sin modificaciones, y las liste a todas como
Secciones Invariantes de su trabajo combinado en la nota de licencia del mismo.
El trabajo combinado sólo debe contener una copia de esta Licencia, y múltiples Secciones Invariantes idénti-
cas se pueden reemplazar con una copia única. Si hay múltiples Secciones Invariantes con el mismo nombre
pero contenido diferente, haga que el título de cada una de dichas secciones sea único, agregando al final del
mismo, entre paréntesis, el nombre del autor o editor original de esa sección si se conoce, o de lo contrario un
número único. Haga el mismo ajuste a los títulos de sección en la lista de Secciones Invariantes en la nota de
licencia del trabajo combinado.
En la combinación, Usted debe combinar cualquier sección titulada "Historia" en los distintos documentos
originales, formando una sección titulada "Historia"; de la misma forma, combine cualquier sección titulada
"Agradecimientos", y cualquier sección titulada "Dedicatorias". Usted debe borrar todas las secciones tituladas
"Aprobaciones."
6. COLECCIONES DE DOCUMENTOS
Usted puede hacer una colección que consista del Documento y otros documentos liberados bajo esta Licencia,
y reemplazar las copias individuales de esta Licencia en los distintos documentos con una única copia que se
incluya en la colección, siempre y cuando siga las reglas de esta Licencia para copiado textual de cada uno de
los documentos en todos los otros sentidos.
Puede extraer un único documento de tal colección, y distribuirlo individualmente bajo esta Licencia, siempre
y cuando inserte una copia de esta Licencia dentro del documento extraído, y siga esta Licencia en todos los
demás sentidos que traten con el copiado literal de ese documento.
212
Apéndice C. Licencia de Documentación Libre GNU
8. TRADUCCIÓN
La traducción se considera una especie de modificación, por lo tanto puede distribuir traducciones del Do-
cumento bajo los términos de la sección 4. El reemplazo de Secciones Invariantes con traducciones requiere
permiso especial de los propietarios del copyright, pero Usted puede incluir traducciones de alguna o de todas
las Secciones Invariantes además de las versiones originales de estas Secciones Invariantes. Puede incluir una
traducción de esta Licencia siempre y cuando también incluya la versión original en Inglés de esta Licencia. En
caso de desacuerdo entre la traducción y la versión original en Inglés de esta Licencia, prevalecerá la versión
original en Inglés.
9. TERMINACIÓN
Usted no puede copiar, modificar, sub-licenciar, o distribuir el Documento excepto como se ha previsto para
tales fines bajo esta Licencia. Cualquier otro intento de copiar, modificar, sub-licenciar o distribuir el Docu-
mento es nulo, y terminará automáticamente sus derechos bajo esta Licencia. Sin embargo, las partes que
han recibido copias, o derechos, de parte de Usted bajo esta Licencia no harán que terminen sus respectivas
licencias mientras que dichas partes permanezcan en completo cumplimiento.
Copyright (c) AÑO SU NOMBRE. Permission is granted to copy, distribute and/or modify this document under the
terms of the GNU Free Documentation License, Version 1.1 or any later version published by the Free Software Foun-
dation; with the Invariant Sections being LISTE LOS TÍTULOS, with the Front-Cover Texts being LISTA, and with the
Back-Cover Texts being LISTA. A copy of the license is included in the section entitled "GNU Free Documentation
License".
Si no tiene Sección Invariante alguna, escriba "sin Secciones Invariantes" en vez de decir cuales secciones son
invariantes. Si no tiene Textos de Tapa, escriba "sin Textos de Tapa" en vez de "Con los Textos de Tapa LISTA";
de la misma forma para los Textos de Contra-tapa.
Si su documento contiene ejemplos no triviales de código de programa, recomendamos liberar estos ejemplos
en paralelo bajo su elección de licencia de software libre, tal como la Licencia Pública General GNU, para
permitir el uso de los ejemplos en software libre.
213
Apéndice C. Licencia de Documentación Libre GNU
214