Multiple Network Fitewall - Guía Del Usuario

MandrakeSecurity
Multiple Network Firewall

Guı́a del Usuario
(http://www.MandrakeSoft.com)
MandrakeSecurity: Multiple Network Firewall; Guı́a del Usuario
Publicado 2002-06-15
Copyright © 2002 MandrakeSoft SA
por Camille Bégnis, Christian Roy, Fabian Mandelbaum, Joël Pomerleau, y Florin Grad
Tabla de contenidos
Prefacio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
1. Nota legal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
2. Acerca de Mandrake Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
2.1. Contacte con la comunidad Mandrake . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
2.2. Soporte a Mandrake . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ii
2.3. Compre productos Mandrake . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ii
3. Acerca de esta Guía de Instalación y del Usuario de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . iii
4. Autores y traductores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iii
5. Palabras del traductor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
6. Las herramientas usadas en la elaboración de este manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
7. Convenciones usadas en este libro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
7.1. Convenciones tipográficas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
7.2. Convenciones generales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v
1. Comenzando . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.1. Guías para comenzar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2. Requisitos de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
2. Instalación con DrakX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
2.1. Introducción al instalador de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2.2. Eligiendo su idioma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2.3. Términos de licencia de la distribución . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.4. Detección y configuración del disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.5. Configuración de su ratón . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.6. Configuración del teclado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.7. Selección de los puntos de montaje . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.8. Elección de las particiones a formatear . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.9. Instalación de los paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.10. Contraseña de root . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.11. Contraseña del administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.12. Agregar un usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.13. Configurar su red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.14. Donde debería colocar el cargador de arranque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.15. Disquete de arranque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.16. Instalación de actualizaciones desde la Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.17. ¡Se terminó! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
2.18. Como desinstalar Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
I. Administración y configuración de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3. Configuración básica de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.2. Configuración básica del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.3. Configuración de tarjetas Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.4. Cambiando la contraseña del administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.5. Registro del sistema sobre las máquinas locales/remotas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.6. Configuración de la hora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4. Configurando el acceso a la Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.1. Estado del acceso a la Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.2. Configuración del módem analógico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.3. Configure su acceso a la Internet por RDSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
4.4. Configuración de la conexión ADSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.5. Configuración de la conexión por Cable/LAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
4.6. Configuración de las cuentas del proveedor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
4.7. Restricción horaria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
5. Servicios: DHCP, Proxy, DNS, y más . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
5.1. Estado de los servicios que se brindan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
5.2. Servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
5.3. Servidor proxy Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
5.4. DNS de cacheo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
5.5. Sistema de detección de intrusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
iii
5.6. Activación de los servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
6. Configurando el comportamiento propiamente dicho del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
6.1. Control principal del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
6.2. Definición de las zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
6.3. Configuración del enmascarado, NAT estática y Proxy ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
6.4. Configuración de las políticas predeterminadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
6.5. Configuración de las reglas del cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .83
6.6. Manteniendo la Lista Negra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
6.7. Configuración de las reglas de Tipo de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
7. Configuración de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
7.1. ¿Qué es una VPN? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
7.2. ¿Por qué una VPN? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
7.3. Configurando un Servidor VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
7.4. Configurar un Cliente VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
8. Configuración de los clientes “enmascarados” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
8.1. Máquina Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
8.2. Máquina Windows XP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
8.3. Máquina Windows 95 o Windows 98 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
8.4. Máquina Windows NT o Windows 2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
8.5. Máquina DOS utilizando el paquete NCSA Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
8.6. Windows para Trabajo en Grupo 3.11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
8.7. Máquina MacOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
8.8. Máquina OS/2 Warp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
9. Monitoreando el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
9.1. Utilización de la red y del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
9.2. Registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
10. Herramientas de administración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
10.1. Conexión remota utilizando SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
10.2. Respaldar y Restaurar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
10.3. Actualizar el software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .133
II. Teoría aplicada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
11. Seguridad bajo GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
11.1. Preámbulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
11.2. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
11.3. Seguridad física . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
11.4. Seguridad local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
11.5. Seguridad de los archivos y del sistema de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
11.6. Seguridad con contraseñas y cifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
11.7. Seguridad del núcleo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
11.8. Seguridad de la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
11.9. Preparación para la seguridad (antes que Usted vaya en línea) . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
11.10. Qué hacer durante y después de un irrupción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
11.11. Fuentes sobre seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
11.12. Preguntas formuladas con frecuencia (FAQ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
11.13. Conclusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Términos relacionados con la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
12. Generalidades sobre redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
12.1. Copyright . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
12.2. Cómo usar este capítulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
12.3. Información general acerca de las redes en Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
12.4. Información genérica sobre la configuración de redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
12.5. Información sobre Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
12.6. Información relacionada con IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
12.7. Utilizando hardware común de PC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .187
12.8. Otras tecnologías de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
12.9. Cables y cableado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
A. Dónde encontrar información adicional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
........................................................................................................
B. La Licencia Pública General GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
iv
B.1. Preámbulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
B.2. Términos y condiciones para la copia, distribución y modificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
B.3. Cómo aplicar estos Términos a sus programas nuevos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
C. Licencia de Documentación Libre GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
C.1. Acerca de la traducción al castellano de la Licencia de Documentación Libre GNU . . . . . . . . . . . . . . 209
C.2. Licencia de Documentación Libre GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
0. PREÁMBULO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
1. APLICABILIDAD y DEFINICIONES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
2. COPIADO TEXTUAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
3. COPIADO EN CANTIDAD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
4. MODIFICACIONES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
5. COMBINANDO DOCUMENTOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
6. COLECCIONES DE DOCUMENTOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
7. AGREGACIÓN CON TRABAJOS INDEPENDIENTES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
8. TRADUCCIÓN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
9. TERMINACIÓN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .213
10. REVISIONES FUTURAS DE ESTA LICENCIA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
C.3. Cómo usar esta Licencia para sus documentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
v
vi
Lista de tablas
1. Material importado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
1-1. Requisitos de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
12-1. Asignaciones reservadas de redes privadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Tabla de figuras
2-1. Primerísima pantalla de Bienvenida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2-2. Eligiendo el idioma predeterminado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3-1. La ventana de conexión para conectarse a MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3-2. Pantalla de bienvenida de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3-3. La entrada del menú para desconectarse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
7-1. Esquema de conexión VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
7-2. Añadiendo una zona VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
7-3. Añadiendo una interfaz de red ipsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
7-4. Añadiendo políticas predeterminadas para la VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
7-5. Añadiendo un túnel en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
7-6. Configurando la CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
7-7. Disposición de la VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
7-8. Añadiendo un lado del Servidor VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
7-9. Regla para permitir el tráfico HTTP sobre la VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
7-10. Añadiendo el lado Cliente de una VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
8-1. Volviendo a configurar la red local con Draknet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
8-2. Configurando la pasarela con Draknet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
8-3. Configurando la pasarela con Windows XP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
8-4. El icono de red bajo Windows 95/98 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
8-5. El panel de configuración de la red bajo Windows 95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
8-6. El panel de configuración TCP/IP bajo Windows 95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
8-7. El panel de configuración de la pasarela bajo Windows 95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
8-8. El panel de configuración del protocolo bajo Windows NT/2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
8-9. El panel de software de red bajo Windows NT/2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
8-10. El panel de configuración TCP/IP bajo Windows NT/2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
8-11. El panel de configuración de DNS bajo Windows NT/2000. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111
8-12. Accediendo al panel de control TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
8-13. Configuración automática del acceso a la Internet para MacOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
8-14. Configuración manual del acceso a la Internet para MacOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
9-1. Ejemplo de reporte de Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
10-1. Pantalla principal de Herramientas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
10-2. Pantalla de restauración de ejemplo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132
10-3. Aplicar la configuración del archivo restaurado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
12-1. Un ejemplo de ruteo dinámico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
12-2. El cableado NULL-módem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
12-3. Cableado Ethernet 10base2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
vii
viii
Prefacio
1. Nota legal
Este manual (excepto los capítulos que se listan en la tabla de abajo) está protegido bajo los derechos de la pro-
piedad intelectual de MandrakeSoft. Se otorga permiso para copiar, distribuir y/o modificar este documento
bajo los términos de la Licencia de Documentación Libre GNU, Versión 1.1 o cualquier versión posterior pu-
blicada por la Fundación de Software Libre (FSF); siendo las Secciones Invariantes Acerca de Mandrake Linux,
página i, con los Textos de Tapa listados debajo, y sin Textos de Contra-tapa. Se incluye una copia de la licencia
en la sección Licencia de documentación libre GNU, de Aplicaciones de todos los días, junto con una traducción al
castellano.
Textos de Tapa:
MandrakeSoft Mayo 2002
http://www.mandrakesoft.com/
Copyright © 1999, 2000, 2001, 2002 por MandrakeSoft S.A. y MandrakeSoft Inc.
Los capı́tulos citados en la tabla de abajo están sujetos a un dueño

del copyright distinto al de todo el manual y a una licencia diferente:
Copyright original Licencia

Seguridad bajo GNU/Linux, página (c) 1998-2000 Kevin Fenzi y Dave Licencia Pública General GNU
137 Wreski como la publicó la Fundación de
Software Libre; ya sea la versión 2
de la Licencia, o (a su opción)
cualquier versión posterior.
Generalidades sobre redes, página (c) 1997 Terry Dawson, 1998 Licencia LDP (vea la información
177 Alessandro Rubini, 1999 & 2000 sobre la licencia en el capítulo)
Joshua D. Drake
{POET}/CommandPrompt, Inc. -
http://www.linuxports.com/
Tabla 1. Material importado
“Mandrake”, “Mandrake Linux” y “MandrakeSoft” son marcas registradas de MandrakeSoft S.A.; Linux es
una marca registrada de Linus Torvalds; UNIX es una marca registrada de The Open Group en los Estados
Unidos de América y otros países. Todas las otras marcas registradas y copyrights son la propiedad de sus
dueños respectivos.
2. Acerca de Mandrake Linux

Mandrake Linux es una distribución GNU/Linux soportada por MandrakeSoft S.A. MandrakeSoft nació en
la Internet en 1998 con el propósito principal de brindar un sistema GNU/Linux fácil de usar y amigable. Los
dos pilares de MandrakeSoft son el código abierto y el trabajo colaborativo.
2.1. Contacte con la comunidad Mandrake

A continuación tiene varios vínculos con la Internet que lo llevan a varias fuentes relacionadas con Mandrake
Linux. Si desea conocer más acerca de la compañía MandrakeSoft debe conectarse al sitio web (http://
www.mandrakesoft.com) de la misma. También está el sitio web de la distribución Mandrake Linux (http:
//www.mandrakelinux.com) y todos sus derivados.
Antes que nada, MandrakeSoft se complace en presentar su nueva plataforma de ayuda abierta. Mandra-
keExpert (http://www.mandrakeexpert.com) no es sólo otro sitio web donde las personas ayudan a otras con
sus problemas de computación a cambio de honorarios prepagos, que se deben pagar sin importar la calidad
i
Prefacio
del servicio recibido. Este sitio ofrece una experiencia nueva basada en la confianza y el placer de premiar a
otros por sus contribuciones.
Además de esa plataforma, MandrakeCampus (http://www.mandrakecampus.com/) proporciona a la comu-
nidad GNU/Linux cursos abiertos de entrenamiento y educación sobre todas las tecnologías y temas relacio-
nados con la filosofía del código abierto. También brinda a los maestros, tutores, y alumnos un lugar donde
pueden intercambiar sus conocimientos.
Hay un sitio para el “mandrakeólico” denominado Mandrake Forum (http://www.mandrakeforum.com/):
sitio primario para los consejos, trucos, rumores, pre-anuncios, noticias semi-oficiales, y más, relacionados con
Mandrake Linux. Además, este es el único sitio web interactivo que mantiene MandrakeSoft, por lo tanto, si
tiene algo que decirnos, o algo que quiera compartir con otros usuarios, no busque más: ¡este es un lugar para
hacerlo!
En la filosofía del código abierto, MandrakeSoft está ofreciendo varias formas de soporte (http://www.
mandrakelinux.com/es/ffreesup.php3) para las distribuciones Mandrake Linux. En particular, está invi-
tado a participar en las distintas Listas de correo (http://www.mandrakelinux.com/es/flists.php3), donde
toda la comunidad de Mandrake Linux demuestra su vivacidad y bondad.
Finalmente, no olvide de conectarse a MandrakeSecure (http://www.mandrakesecure.net/). Este sitio reúne
todo el material relacionado con la seguridad sobre las distribuciones Mandrake Linux. Allí encontrará avisos
de seguridad y errores, así como también artículos relacionados con la seguridad y la privacidad. Un sitio
obligatorio para cualquier administrador de servidores o usuario al que le concierne la seguridad.
2.2. Soporte a Mandrake

A pedido popular, MandrakeSoft propone a sus clientes felices que hagan una donación (http://www.
mandrakelinux.com/donations/) para soportar los desarrollos futuros para el sistema Mandrake Linux. Su
contribución ayudará a MandrakeSoft a proporcionar a sus usuarios una distribución mucho mejor, más se-
gura, fácil, actualizada, y con soporte para más idiomas.
Las habilidades de los muy talentosos serán sumamente útiles para alguna de las muchas tareas necesarias
para realizar un sistema Mandrake Linux:
• Empaquetado: un sistema GNU/Linux está compuesto principalmente por programas recogidos de la Inter-
net. Estos programas tienen que empaquetarse de forma tal que puedan funcionar juntos.
• Programación: hay muchísimos proyectos que MandrakeSoft soporta directamente: encuentre el que más
le atraiga, y proponga su ayuda al desarrollador principal.
• Internacionalización: la traducción de las páginas web, los programas,y la documentación respectiva de los
mismos.
• Documentación: por último pero no por menos, el libro que Usted está leyendo en este momento necesita
de mucho esfuerzo para mantenerse actualizado con la evolución rápida del sistema.
Consulte la página de contribuyentes (http://www.mandrakesoft.com/labs/) para saber más acerca de la
forma en la que Usted puede ayudar a la evolución de Mandrake Linux.
El 3 de agosto de 2001, luego de haberse establecido como uno de los líderes mundiales en Código Abierto
y software GNU/Linux , MandrakeSoft se convirtió en la primer compañía de Linux listada en un mercado
de acciones Europeo. Si ya es un accionista de MandrakeSoft o desea convertirse en uno, nuestras páginas
para los inversores (http://www.mandrakesoft.com/company/investors) le brindan la mejor información
financiera relacionada con la compañía.
2.3. Compre productos Mandrake

Para los fans de Mandrake Linux que se desean beneficiar de la facilidad de la compra en línea, Mandra-
keSoft ahora vende sus productos mundialmente desde su sitio web de e-commerce (comercio electrónico):
MandrakeStore (http://www.mandrakestore.com). Allí encontrará software Mandrake Linux — sistemas
operativos y herramientas de red (cortafuegos), pero también ofertas de suscripción especiales, soporte, soft-
ware de terceros y licencias, documentación de entrenamiento, libros relacionados con GNU/Linux , así como
también goodies relacionados con MandrakeSoft.
ii
Prefacio
3. Acerca de esta Guı́a de Instalación y del Usuario de MandrakeSecurity

Este libro incluye un capítulo introductorio, que lo guiará en la instalación y el hardware específico necesario
para operar MandrakeSecurity . Se recomienda que primero lea Guías para comenzar, página 1 que le dará una
visión general del ciclo de vida de y las tareas de mantenimiento de MandrakeSecurity .
Luego pasaremos por el proceso de instalación (Instalación con DrakX, página 3) Es bastante directo y simple,
pero si esta es su primer instalación GNU/Linux , se recomienda seguir este capítulo mientras instala Mandra-
keSecurity
¡Luego viene el contenido! Después de este capítulo introductorio vienen dos partes. La primera se denomina
Configuración y administración de MandrakeSecurity y cubre todos los pasos necesarios para ejecutar Mandrake-
Security con eficiencia. Aprenderá los pasos básicos en Configuración básica de MandrakeSecurity, página 21 y
cómo configurar la conexión con la Internet de su servidor en Configurando el acceso a la Internet, página 33.
Luego, Servicios: DHCP, Proxy, DNS, y más, página 51 explicará cómo configurar su servidor como un servidor
DNS, DHCP y Proxy, además de permitirle utilizar los sistemas de detección de intrusiones (IDS).
Uno de los capítulos más importantes de la primer parte es Configurando el comportamiento propiamente dicho del
cortafuegos, página 69. Trata sobre la sección de las reglas del cortafuegos en la interfaz de MandrakeSecurity
y lo ayudará a definir el tráfico entrante/saliente de su red. Los últimos capítulos de esa primer parte tratan
con la configuración inicial y reconfiguraciones y ajustes posteriores de los servicios. Encontrará información
sobre esos temas en Monitoreando el cortafuegos, página 117 y en Herramientas de administración, página 129.
La segunda parte es más teórica, esa es la razón del título: Teoría aplicada. Se divide en dos capítulos. El primero,
Seguridad bajo GNU/Linux, página 137, está basado en un COMO de Kevin Fenzi y Dave Wreski. El propósito
principal del mismo es tratar los temas de seguridad que, sin lugar a dudas, enfrentarán los administradores.
Alterna entre temas filosóficos y prácticos sobre como aumentar la seguridad de su sistema frente a “crackers”
potenciales.
El segundo y último capítulo de la segunda parte se denomina Generalidades sobre redes, página 177. Está ba-
sado en un COMO de Joshua D. Drake {POET}. Este capítulo contiene vínculos a otra documentación específica
de redes sobre, por ejemplo, TCP/IP; el mismo trata los temas esenciales necesarios para operar una red de
manera apropiada; explica principios orientados a la tecnología tales como IP y temas relacionados con Ether-
net, tecnologías comunes para la mayoría de las PC, así como también tecnologías de red particulares como
AppleTalk y Relevo de Tramas.
Terminamos este manual con dos apéndices informativos. El primero, Dónde encontrar información adicional,
página 201, apunta a fuentes de información en la Internet. Y el segundo es Licencia de Documentación Libre
GNU, página 209, que es la licencia que cubre el contenido de este libro.
4. Autores y traductores
Las personas siguientes contribuyeron a la realización de los manuales de Mandrake Linux:
• Camille Bégnis
• Fabian Mandelbaum
• Roberta Michel
• Rodrigo Pedrosa
• Jöel Pomerleau
• Christian Roy
• Las personas que escribieron el material importado que se lista en Tabla 1.
También participaron, en mayor o menor grado, las personas siguientes: Amaury Amblard-Ladurantie, Florin
Grad y Philippe Libat .
iii
Prefacio
5. Palabras del traductor

Como podrá notar a medida que pasa de un capítulo a otro, este libro es un compendio escrito por varios
autores. Incluso cuando se tomó mucho cuidado en asegurar la consistencia técnica y del idioma, obviamente
se conserva el estilo de cada autor.
Algunos autores escriben en inglés, aunque puede no ser su lengua materna. Por lo tanto, puede notar algunas
construcciones idiomáticas extrañas; no dude en hacernos saber sobre esto si algo no le parece claro.
Soy de Argentina y los términos de informática que utilizamos aquí pueden no ser los mismos a los empleados
en otros países de habla hispana (mouse en vez de ratón, archivo en vez de fichero, etc.), sin embargo he tratado
de utilizar términos que puedan ser comprendidos por todos. Espero que la elección haya sido adecuada.
Siguiendo la filosofía del Código Abierto (Open Source), ¡las contribuciones siempre son muy bienvenidas!
Usted puede proporcionar ayuda a este proyecto de documentación de muchas maneras diferentes. Si tiene
un montón de tiempo, puede escribir un capítulo completo. Si habla una lengua extranjera, puede ayudar
con la internacionalización de este libro. Si tiene ideas acerca de como mejorar el contenido, háganoslo saber;
¡incluso son bienvenidas las advertencias sobre errores de tecleo u ortografía!
Para mayor información sobre el proyecto de documentación de Mandrake Linux, por favor contacte al ad-
ministrador de la documentación (mailto:documentation@mandrakesoft.com).
6. Las herramientas usadas en la elaboración de este manual

Este manual se escribió en DocBook . Borges (http://www.linux-mandrake.com/en/doc/project/Borges/)
se utilizó para administrar el conjunto de archivos involucrados. Los archivos fuente XML se procesaron con
openjade y jadetex usando las hojas de estilo de Norman Walsh personalizadas. Las instantáneas de pantallas
se tomaron con xwd o GIMP y se convirtieron con convert (del paquete ImageMagick ). Todas estas piezas de
software están disponibles en su distribución Mandrake Linux, y todas las partes de las mismas son software
libre.
7. Convenciones usadas en este libro
7.1. Convenciones tipográficas

Para poder diferenciar con claridad algunas palabras especiales del flujo del texto, el equipo de documenta-
ción utiliza representaciones diferentes. La tabla siguiente le muestra un ejemplo de cada palabra o grupo de
palabras especiales con su representación real y lo que esto significa.
Ejemplo Significado
formateado
i-nodo Este formateo se usa para enfatizar un término técnico.
ls -lta Indica comandos, o argumentos a dichos comandos. Este formateo se aplica a los
comandos, las opciones y los nombres de archivos. Vea también la sección sobre
“Sinopsis de comandos, página v”.
ls(1) Referencia a una página Man. Para obtener la página en un shell (o línea de
comandos), simplemente ingrese man 1 ls.
$ ls *.pid El equipo de documentación utiliza este formateado para instantáneas de los textos
imwheel.pid que $Usted puede ver en su pantalla. Esto incluye a las interacciones con la
computadora, los listados de programa, etc.
localhost Esto es algún dato literal que por lo general no encaja en alguna de las categorías
definidas previamente. Por ejemplo, una palabra clave tomada de un archivo de
configuración.
Apache Esto se usa para los nombres de las aplicaciones. Por ejemplo, no se usa en el nombre
de un comando sino en contextos particulares donde el nombre del comando y de la
aplicación pueden ser el mismo pero se formatean de maneras diferentes.
Configurar Esto se usa para las entradas de menú o las etiquetas de las interfaces gráficas en
general. La letra subrayada indica la tecla del atajo si es aplicable.
iv
Prefacio
Ejemplo Significado
formateado
Bus-SCSI denota una parte de una computadora o una computadora en sí misma.
Le petit chaperon Indica que estas palabras que pertenecen a una lengua extranjera.
rouge
¡Atención! Por supuesto, esto se reserva para las advertencias especiales con el fin de enfatizar la
importancia de las palabras; léalo en voz alta :-)
Este icono resalta una nota. Generalmente, es un comentario en el

contexto corriente que brinda información adicional.
Este icono representa un consejo. Puede ser un consejo general

sobre como realizar una acción especı́fica, o una caracterı́stica in-
teresante que puede simplificarle la vida.
Tenga sumo cuidado cuando vea este icono. Siempre significa que se
tratará con información sumamente importante acerca de un tema
en particular.
7.2. Convenciones generales
7.2.1. Sinopsis de comandos

El ejemplo que sigue le muestra los signos que encontrará en este manual cuando el autor describe los argu-
mentos de un comando:
comando <argumento no textual>
[--opción={arg1,arg2,arg3}] [argumento opcional ...]
Estas convenciones son típicas y las encontrará en otros lugares, por ejemplo las páginas Man.
Los signos “<” (menor que) y “>” (mayor que) denotan un argumento obligatorio que no debe ser copiado
textualmente, sino que debe reemplazarse de acuerdo con sus necesidades. Por ejemplo, <archivo> se refiere
al nombre real de un archivo. Si dicho nombre es pepe.txt,Usted debería teclear pepe.txt, y no <pepe.txt>
o <archivo>.
Los corchetes “[ ]” denotan argumentos opcionales, los cuales puede o no incluir en el comando.
Los puntos suspensivos “...” significan que en ese lugar se puede incluir un número arbitrario de elementos.
Las llaves “{ }” contienen los argumentos permitidos en este lugar. Uno de ellos debe ser puesto aquí.
7.2.2. Notaciones especiales

De vez en cuando se le indicará que presione las teclas Ctrl+R. Eso significa que Usted debe presionar y
mantener presionada la tecla Ctrl mientras presiona la tecla R también. Lo mismo aparece y vale para las
teclas Alt y Mayúsculas.
También acerca de los menús, ir a la opción del menú Archivo→Resumir (Ctrl+R) significa: hacer clic sobre
el texto Archivo sobre el menú (generalmente horizontal en la parte superior de la ventana) y luego sobre el
menú vertical que aparece, hacer clic sobre la opción Resumir. Adicionalmente, se le informa que puede usar
la combinación de teclas Ctrl+R como se describió anteriormente, para lograr el mismo resultado.
v
Prefacio
7.2.3. Usuarios genéricos del sistema

Siempre que ha sido posible, hemos utilizado dos usuarios genéricos en nuestros ejemplos:
Reina Pingusa Este usuario se crea en el momento de la instalación.

Peter Pingus El administrador del sistema crea más tarde a este
usuario.
vi
Capı́tulo 1. Comenzando
En este capítulo introductorio, revisaremos todos los pasos de configuración previos necesarios antes de uti-
lizar los productos MandrakeSecurity . Ya sea si Usted desea utilizar MandrakeSecurity por medio de un
aparato o directamente desde una instalación Mandrake Linux, este capítulo es para Usted.
1.1. Guı́as para comenzar
La lista cronológica que se presenta aquí debería guiarlo a través de todo el ciclo de vida de su cortafuegos.
Debe leerla con cuidado antes de hacer cosa alguna, y consultar las secciones del manual que se citan como se
le instruye.
1. Requisitos de hardware. Si está construyendo su cortafuegos a partir de una PC estándar, verifique si su

hardware es adecuado con respecto a sus necesidades en Requisitos de hardware, página 1.
2. Instalación. Instale una distribución mínima en la máquina objetivo, siguiendo las instrucciones en Insta-
lación con DrakX, página 3.
3. Primer conexión y configuraciones básicas. Configure los parámetros básicos del sistema y el acceso a la
Internet: Configuración básica de MandrakeSecurity, página 21.
4. Activación de los servicios. Los servicios que Usted desea activar de los que le propone MandrakeSecu-
rity : Servicios: DHCP, Proxy, DNS, y más, página 51.
5. Configuración de las reglas del cortafuegos. Filtrar el tráfico que pasa por la pasarela:Configurando el
comportamiento propiamente dicho del cortafuegos, página 69.
6. Configuración de la VPN. Si desea establecer una Red Privada Virtual (VPN) con otro sitio remoto equi-
pado con MandrakeSecurity : Configuración de VPN, página 91.
7. Configuración de los sistemas cliente. Ahora es el momento de conectar sus diferentes servidores y má-
quinas al cortafuegos. Configure los servidores en la DMZ de acuerdo a las reglas del cortafuegos añadidas
en MandrakeSecurity . Para los clientes, siga las instrucciones en Configuración de los clientes “enmascara-
dos”, página 103.
8. Pruebas. Simplemente debe asegurarse que los distintos servicios configurados están funcionando de
manera adecuada. También pruebe que las diferentes reglas del cortafuegos realmente están dando el
resultado esperado.
9. Copia de respaldo de la configuración. Obligatorio, no es necesario insistir: Respaldar y Restaurar, página
130.
10. Monitoreo del sistema. Ahora su sistema completo está en producción y cumple con su cometido. Para
asegurarse que todo sigue como se espera a medida que pasa el tiempo, debe tomar el buen hábito de
verificar regularmente los indicadores de vida del sistema: Monitoreando el cortafuegos, página 117.
11. Cambiar las contraseñas. Es sumamente importante cambiar periódicamente la contraseña de admin, usa-
da para acceder a su sistema cortafuegos. Para eso, debe conectarse a la página Configuración del sistema
Cuenta: Cambiando la contraseña del administrador, página 28.
12. Actualización del sistema. Para asegurarse que el cortafuegos siempre está en lo máximo de la seguri-
dad, MandrakeSoft publica con regularidad paquetes actualizados de las aplicaciones para las que se
han descubierto y corregido problemas de seguridad o errores. Debe asegurarse de instalar los paquetes
actualizados ni bien estén disponibles: Actualizar el software, página 133.
13. Reconfiguración completa del sistema. En caso que sea absolutamente necesario: haga copia de respaldo
de la configuración; desinstale los paquetes naat-* del sistema; instale el paquete snf-es; restaure la
configuración.
1
Capítulo 1. Comenzando
1.2. Requisitos de hardware
Si ha elegido instalar MandrakeSecurity en una PC estándar, aquí tiene algunas guías bastante aproximadas
con respecto al hardware necesario para dos configuraciones diferentes. Luego haremos una revisión rápida
del proceso de instalación.
Configuración Red local limitada sin DMZ y tráfico Red local con una DMZ que aloja varios
limitado servicios de Internet públicos.
Procesador Pentium 166 Pentium III
RAM 64MB 128MB
Disco rígido 2GB 10GB
Interfaces de red Ethernet (LAN) + Internet 2*Ethernet (LAN+DMZ) + Internet
Tabla 1-1. Requisitos de hardware
Por supuesto esos números son puramente indicativos y son altamente dependientes de la utilización efectiva
de la red. La configuración tendrá que actualizarse dependiendo de los servicios que realmente están activos
en el cortafuegos. Verifique regularmente la carga del sistema: (Monitoreando el cortafuegos, página 117) de
forma tal de poder actuar antes que su servidor se sature.
2
Capı́tulo 2. Instalación con DrakX
2.1. Introducción al instalador de MandrakeSecurity

DrakX es el programa de instalación de MandrakeSecurity . Su facilidad de uso ha sido mejorada con una in-
terfaz gráfica que le permite avanzar y retroceder a través de la instalación y formula preguntas a medida que
sea necesario. Con DrakX , no importa si Usted es un usuario nuevo de MandrakeSecurity o un profesional
avezado – El trabajo de DrakX es brindarle una instalación suave y una transición simple hacia MandrakeSe-
curity .
Figura 2-1. Primerísima pantalla de Bienvenida
Cuando comienza la instalación, la primer pantalla que aparece presenta algo de información y le brinda
opciones de instalación (Figura 2-1) Si no hace algo, simplemente comenzará la instalación en modo normal o
“linux”. Los párrafos siguientes presentarán algunas opciones y parámetros que puede pasar al programa de
instalación si Usted se encuentra en problemas.
Si presiona F1 se abrirá una pantalla de ayuda. Aquí tiene algunas opciones útiles de entre las cuales puede
elegir:
• vgalo (modo vga): si intentó una instalación normal y no pudo obtener la interfaz gráfica que se muestra
debajo en Eligiendo su idioma, página 4, puede intentar ejecutar la instalación en baja resolución. Esto ocurre
con ciertos tipos de tarjeta gráfica, por lo que MandrakeSecurity le brindará una cantidad de opciones para
solucionar problemas con hardware antiguo. Para intentar la instalación en el modo de baja resolución,
simplemente debe ingresar vgalo en el prompt que se le presenta aquí.
• text (modo texto): si su tarjeta de vídeo es realmente antigua, y la instalación gráfica no funciona en absolu-
to, siempre puede elegir usar la instalación en modo texto. Debido a que todas las tarjetas de vídeo pueden
mostrar texto, esta es la “instalación de último recurso”. Sin embargo, no debe preocuparse – no es muy
probable que necesite utilizar la instalación de modo texto.
3
Capítulo 2. Instalación con DrakX
• expert (modo experto): en algunos casos raros, su PC puede parecer que está congelada o trabada durante
la fase de detección del hardware. Si ocurre esto, entonces añada la palabra expert como parámetro para
decirle al programa de instalación que obvie la detección de hardware. Debido a que DrakX no buscará
el hardware, Usted tendrá que proporcionar los parámetros del hardware de forma manual más adelante
en la instalación. El parámetro expert se puede añadir a los modos previos, por lo que puede terminar
especificando
boot: vgalo expert
para realizar una instalación gráfica de baja resolución sin que DrakX realice una búsqueda de hardware.
Al seleccionar el modo expert se le pedirán más detalles acerca del

proceso de instalación, permitiéndole realizar una instalación más
personalizada.
• opciones del núcleo: por lo general, las opciones del núcleo no son necesarias para la mayoría de las máqui-
nas. Hay unos pocos casos de placas principales que reportan de manera incorrecta la cantidad de memoria
instalada debido a errores en el diseño del BIOS. Si necesita especificar manualmente la cantidad de memo-
ria DRAM instalada en su PC, utilice el parámetro mem= xxxM. Por ejemplo, para comenzar la instalación en
modo normal con una computadora que tiene 256 MB de memoria, su línea de comandos debería parecerse
a esto:
boot: linux mem=256M
Ahora que hemos pasado por lo que podría fallar, avancemos al proceso de instalación propiamente dicho.
Cuando ingresa a la instalación propiamente dicha obtiene una bonita interfaz gráfica (Figura 2-2) Sobre la
izquierda puede ver las diferentes fases de instalación. Dependiendo del nivel de progreso de la instalación,
algunas fases estarán o no disponibles. Si lo están, se resaltarán cuando apoye el cursor del ratón sobre las
mismas.
Los colores de los botones sobre la izquierda de la pantalla le permiten ver rápidamente qué está pasando con
la instalación:
• rojo: todavía no se ha llevado a cabo esta fase de la instalación

• naranja: esta es la fase de la instalación que se está procesando
• verde: esta fase de la instalación ya ha sido configurada. Sin embargo, nada le impide volver a la misma en
caso que lo necesite o lo desee.
Esta guía asume que está realizando una instalación típica paso a paso, como se describe debajo.
2.2. Eligiendo su idioma

El primer paso es elegir su idioma preferido.
4
Figura 2-2. Eligiendo el idioma predeterminado
Su elección de idioma preferido afectará al idioma de la documentación, el instalador y el sistema en general.

Al hacer clic sobre el botón Avanzado podrá seleccionar otros idiomas para instalar en su máquina, instalando
así los archivos específicos para la documentación del sistema y las aplicaciones. Por ejemplo, si albergará
a gente de Francia en su máquina, seleccione Español como idioma principal en la vista de árbol y Fran-
cés|Francia en la sección avanzada.
Note que se pueden instalar múltiples idiomas. Una vez que ha seleccionado los idiomas adicionales haga clic
sobre el botón Aceptar para continuar.
La interfaz web de MandrakeSecurity no soporta todos los idio-

mas que se listan aquı́.
5
2.3. Términos de licencia de la distribución
Antes de continuar, debería leer cuidadosamente los términos de la licencia. La misma cubre a toda la dis-
tribución MandrakeSecurity , y si Usted no está de acuerdo con todos los términos en ella, haga clic sobre el
botón Rechazar. Esto terminará la instalación de inmediato. Para continuar con la instalación, haga clic sobre
el botón Aceptar.
6
2.4. Detección y configuración del disco
DrakX primero detectará cualquier dispositivo IDE presente en su computadora. También buscará una o más
tarjetas SCSI PCI en su sistema. Si se encuentra una tarjeta SCSI, DrakX instalará el controlador apropiado
automáticamente.
Debido a que la detección de hardware a veces no detectará alguna pieza de hardware, DrakX le pedirá que
confirme si tiene una tarjeta SCSI PCI. Si hace clic sobre Sí se le presentará una lista de tarjetas SCSI de la cual
elegir. Haga clic sobre No si sabe que no tiene hardware SCSI en su máquina. Si no está seguro puede verificar
la lista de hardware detectado en su máquina seleccionando Ver información sobre el hardware y haciendo clic
sobre Aceptar. Examine la lista de hardware y luego haga clic sobre el botón Aceptar para volver a la pregunta
sobre la interfaz SCSI.
Si tuvo que seleccionar su adaptador manualmente, DrakX le preguntará si desea especificar opciones para
el mismo. Debería permitir que DrakX sondee el hardware buscando las opciones específicas que necesita la
tarjeta para inicializarse adecuadamente. La mayoría de las veces, DrakX pasará esta fase sin problema alguno.
Si DrakX no puede sondear las opciones para determinar automáticamente qué parámetros deben pasarse,
Usted necesitará configurar manualmente el controlador.
7
2.5. Configuración de su ratón
Por lo general, DrakX no tienen problemas en detectar la cantidad de botones que tiene su ratón. Si no, asume
que Usted tiene un ratón de dos botones y lo configurará para que emule el tercer botón. El tercer botón
del ratón en un ratón de dos botones puede “presionarse” haciendo clic simultáneamente sobre los botones
izquierdo y derecho del ratón. DrakX sabrá automáticamente si su ratón tiene una interfaz PS/2, serie o USB.
Si por alguna razón desea especificar un tipo de ratón diferente, seleccione el tipo apropiado de la lista que se
proporciona.
Si elige un ratón distinto al predeterminado, se le presentará una pantalla de prueba. Use los botones y la
rueda para verificar que la configuración es correcta y el ratón funciona adecuadamente. Si el ratón no está
funcionando correctamente, presione la barra espaciadora o Intro para Cancelar la prueba y volver a la lista
de opciones.
Los ratones con rueda a veces no se detectan automáticamente, por

lo que deberı́a seleccionar su ratón de una lista. Debe asegurarse
de seleccionar el correspondiente en el puerto correcto al cual está
conectado. Luego que ha seleccionado el ratón y ha presionado el
botón Aceptar, se muestra una imagen de un ratón en la pantalla.
Debe mover la rueda de su ratón para activarlo correctamente. Una
vez que ve que la rueda de la pantalla se mueve a medida que Usted
mueve la rueda de su ratón, pruebe todos los botones y verifique
que el puntero del ratón en la pantalla se mueve a medida que
Usted mueve su ratón.
8
2.6. Configuración del teclado
Dependiendo del idioma predeterminado que Usted eligió en Eligiendo su idioma, página 4, DrakX seleccionará
automáticamente un tipo particular de configuración del teclado. Sin embargo, podría no tener un teclado que
se corresponde exactamente con su idioma: por ejemplo, si Usted es un argentino que habla inglés, todavía
podría desear que su teclado sea un teclado Latinoamericano. O si habla castellano pero está en Inglaterra
puede estar en la misma situación en la que el idioma y su teclado no concuerdan. En ambos casos, este paso
de instalación le permitirá seleccionar un teclado apropiado de una lista.
Haga clic sobre el botón Más para que se le presente la lista completa de los teclados soportados.
9
2.7. Selección de los puntos de montaje
Ahora necesita elegir el lugar de su disco rígido donde se instalará su sistema operativo MandrakeSecurity .
Si su disco rígido está vacío o si un sistema operativo existente está utilizando todo el espacio disponible,
necesitará particionar el disco. Básicamente, particionar un disco rígido consiste en dividirlo lógicamente para
crear espacio para instalar su sistema MandrakeSecurity nuevo.
Debido a que los efectos del particionado por lo general son irreversibles y pueden llevar a la pérdida de datos
si ya hay un sistema operativo instalado en el disco, el particionado puede resultar intimidante y estresante si
Usted es un usuario inexperto. Por fortuna, DrakX incluye un asistente que simplifica este proceso. Antes de
continuar con este paso, por favor lea el resto de esta sección y, por sobre todo, tómese su tiempo.
Si su disco rígido ya ha sido particionado, bien en una instalación previa de GNU/Linux o por medio de otra
herramienta de particionado, seleccione las particiones apropiadas en las que desea instalar su sistema Linux.
Si no se han configurado particiones, deberá crearlas utilizando el asistente. Dependiendo de la configuración
de su disco rígido, están disponibles varias opciones:
• Usar espacio libre: esta opción simplemente llevará a un particionado automático de su(s) disco(s) vacío(s).
No se le pedirán más detalles ni se le formularán más preguntas.
• Usar la partición existente: el asistente ha detectado una o más particiones Linux existentes en su disco
rígido. Si desea utilizarlas, elija esta opción. Si lo hace se le pedirá que elija los puntos de montaje asociados
a cada una de las particiones. Los puntos de montaje legados se seleccionan automáticamente, y por lo
general es una buena idea mantenerlos.
• Usar el espacio libre en la partición Windows: si Microsoft® Windows © está instalado en su disco rígido y
ocupa todo el espacio disponible en el mismo, Usted tiene que liberar espacio para los datos de Linux. Para
hacerlo, puede borrar su partición y datos Microsoft Windows (vea las soluciones “Borrar el disco entero”
o “Particionamiento de disco personalizado”) o cambiar el tamaño de su partición Windows FAT. El cambio
de tamaño se puede realizar sin la pérdida de datos, siempre y cuando Usted ha desfragmentado con
anterioridad la partición Windows y la misma utiliza el formato FAT. También se recomienda hacer una
copia de respaldo de sus datos. Se recomienda esta solución si desea utilizar tanto MandrakeSecurity como
Microsoft Windows en la misma computadora.
10
Antes de elegir esta opción, por favor comprenda que después de este procedimiento, el tamaño de su
partición Microsoft Windows será más pequeño que ahora. Tendrá menos espacio bajo Microsoft Windows
para almacenar sus datos o instalar software nuevo.
• Borrar el disco entero: si desea borrar todos los datos y todas las particiones presentes en su disco rígido y
reemplazarlas con su nuevo sistema MandrakeSecurity , elija esta opción. Tenga cuidado con esta solución
ya que no podrá revertir su elección después de confirmarla.
Si elige esta opción, se borrarán todos los datos en su disco.
• Quitar Windows: simplemente esto borrará todo en el disco y comenzará particionando todo desde cero. Se
perderán todos los datos en su disco.
Si elige esta opción, se perderán todos los datos en su disco.
• Particionamiento de disco personalizado: elija esta opción si desea particionar manualmente su disco rígido.
Tenga cuidado –– esta es una elección potente pero peligrosa y puede perder todos sus datos con facilidad.
Es por esto que esta opción realmente sólo se recomienda si Usted ya ha hecho algo así antes y tiene algo de
experiencia. Para más instrucciones sobre cómo usar el utilitario DiskDrake , consulte la documentación en
línea para DiskDrake (http://www.linux-mandrake.com/en/doc/82/en/user.html/diskdrake.html).
2.8. Elección de las particiones a formatear
11
Se debe formatear cualquier partición nueva que ha sido definida para que se pueda utilizar (formatear signi-
fica crear un sistema de archivos)
Puede desear volver a formatear algunas particiones ya existentes para borrar cualquier dato que pudieran
contener. Si así lo desea, por favor seleccione también dichas particiones.
Por favor note que no es necesario volver a formatear todas las particiones preexistentes. Debe volver a
formatear las particiones que contienen el sistema operativo (tales como /, /usr o /var) pero no tiene que
volver a formatear particiones que contienen datos que desea preservar (típicamente /home)
Por favor, tenga sumo cuidado cuando selecciona las particiones. Después de formatear, se borrarán todos los
datos en las particiones seleccionadas y no podrá recuperarlos en absoluto.
Haga clic sobre Aceptar cuando esté listo para formatear las particiones.
Haga clic sobre Cancelar si desea elegir otra partición para la instalación de su sistema operativo Mandrake-
Security nuevo.
Haga clic sobre Avanzada si desea seleccionar las particiones en las que se buscarán bloques defectuosos en el
disco.
2.9. Instalación de los paquetes

Luego viene la instalación del sistema propiamente dicha. La lista de paquetes está predefinida y no se puede
cambiar en este momento. El tiempo necesario para completar la instalación depende de la velocidad de su
hardware. En la pantalla se mostrará una estimación del tiempo restante para finalizar de forma tal que pueda
evaluar si tiene tiempo suficiente de disfrutar de una taza de café.
2.10. Contraseña de root
Este es el punto de decisión crucial para la seguridad de su sistema GNU/Linux : tendrá que ingresar la contra-
seña de root. root es el administrador del sistema y es el único autorizado a hacer actualizaciones, agregar
usuarios, cambiar la configuración general del sistema, etc. Resumiendo, ¡root puede hacer de todo! Es por
esto que deberá elegir una contraseña que sea difícil de adivinar – DrakX le dirá si la que eligió es demasiado
fácil. Como puede ver, puede optar por no ingresar una contraseña, pero le recomendamos encarecidamente
12
que ingrese una. GNU/Linux es tan sensible a los errores del operador como cualquier otro sistema operati-
vo. Debido a que root puede sobrepasar todas las limitaciones y borrar, sin intención, todos los datos que se
encuentran en las particiones accediendo a las mismas sin el cuidado suficiente, es importante que sea difícil
convertirse en root.
El nivel de seguridad de MSEC está configurado, de manera prede-

terminada, en 4 (“alto”) La contraseña deberı́a ser una mezcla de
caracteres alfanuméricos y deberı́a tener al menos una longitud de
8 caracteres. Nunca escriba la contraseña de root –– eso hace que
sea muy fácil comprometer a un sistema.
Algo a tener en cuenta –– no haga la contraseña demasiado larga o complicada ¡ya que Usted debe poder
recordarla!
La contraseña no se mostrará en la pantalla a medida que Usted la teclee. Por lo tanto, tendrá que teclear la
contraseña dos veces para reducir la posibilidad de un error de tecleo. Si ocurre que Usted comete dos veces
el mismo error de tecleo, tendrá que utilizar esta contraseña “incorrecta” la primera vez que se conecte.
2.11. Contraseña del administrador

Luego se le pide que ingrese la contraseña del administrador del sistema (login: admin) Por razones de segu-
ridad, se diferencia del usuario root, y también porque puede no ser la misma persona. Es esa cuenta, admin,
la que se necesitará para acceder a la interfaz web de MandrakeSecurity . Para elegir esta contraseña aplican
los mismos criterios que para la elección de la contraseña de root.
2.12. Agregar un usuario
Ya se han agregado todos los usuarios necesarios por lo que no debería necesitar agregar más usuarios para
la operación normal de MandrakeSecurity . Sin embargo, si planea utilizar la característica de autenticación
PAM de squid , aquí puede añadir los usuarios que estarán autorizados.
El primer campo le pide su nombre real. Esto no es obligatorio, por supuesto – ya que, en realidad, puede
ingresar lo que desee. DrakX tomará entonces la primer palabra que ingresó y la copiará al campo Nombre de
13
usuario. Este es el nombre que este usuario en particular utilizará para ingresar al sistema. Si lo desea, puede
obviar lo predeterminado y cambiar el nombre de usuario. Luego tendrá que ingresar aquí una contraseña. La
contraseña de un usuario no privilegiado (regular) no es crucial como la de root desde el punto de vista de
la seguridad, pero esto no es razón alguna para obviarla: después de todo, son sus archivos los que podrían
estar en riesgo.
Luego puede elegir hacer que es usuario sea miembro de uno o más grupos especiales que le darán privilegios
especiales. Marque las casillas de los privilegios que desea brindar a dicho usuario.
Una vez que hace clic sobre Aceptar el usuario, puede añadir usuarios adicionales. Seleccione Hecho cuando
haya finalizado de añadir usuarios.
Hacer clic sobre el botón Avanzada le permite cambiar el shell

predeterminado para ese usuario (bash por defecto)
2.13. Configurar su red
Ahora configurará la conexión a su red local (LAN) MandrakeSecurity intentará detectar automáticamente
los dispositivos de red y módem. Si esta detección falla, quite la marca de la casilla Usar detección automática.
Si bien aquı́ se ofrecen muchos tipos de conexión, no configure

su conexión con la Internet ahora. Deberı́a limitarse a configurar
el acceso a la red LAN Ethernet, de forma tal que luego pueda
conectarse a la interfaz administrativa y configurar otras conexiones
con facilidad por medio de la misma.
No detallaremos cada opción de configuración – sólo debe asegurarse que tiene todos los parámetros como:
dirección IP, pasarela predeterminada, servidores DNS, etc. que le brindó su Proveedor de Servicios de Internet
o el administrador de su sistema.
14
Más tarde, podrá configurar todas sus otras interfaces de red (Internet, DMZ, etc.) por medio de la interfaz
MandrakeSecurity .
2.14. Donde deberı́a colocar el cargador de arranque
Debe indicar donde desea colocar el cargador de arranque necesario para arrancar en GNU/Linux .
A menos que sepa exactamente lo que está haciendo, elija Primer sector del disco (MBR).
Luego se le presentam las diferentes entradas de arranque que se propondrán al momento de arrancar el
sistema. Aquí las puede modificar.
15
2.15. Disquete de arranque
El CD-ROM de MandrakeSecurity tiene un modo de rescate incorporado. Usted puede acceder al mismo
presionando la tecla F1 durante el arranque y tecleando rescue en el prompt. Si su computadora no pue-
de arrancar desde el CD-ROM, hay al menos dos situaciones en las que resulta crítico tener un disquete de
arranque:
• cuando instala el cargador de arranque, DrakX sobreescribirá el sector de arranque ( MBR) de su disco
principal (a menos que esté utilizando otro administrador de arranque) de forma tal que pueda iniciar o
bien Windows o bien GNU/Linux (asumiendo que tiene Windows en su sistema) Si necesita volver a instalar
Windows , el proceso de instalación de Microsoft sobreescribirá el sector de arranque, y entonces ¡Usted no
podrá iniciar GNU/Linux !
• si surge un problema y Usted no puede iniciar GNU/Linux desde el disco rígido, este disquete será la única
manera de iniciar GNU/Linux . El mismo contiene una buena cantidad de herramientas del sistema para
restaurar un sistema que colapsó debido a una falla de energía, un error de tecleo infortunado, un error u
olvido de una contraseña, o cualquier otro motivo.
Si responde Sí, se le pedirá que inserte un disquete dentro de la disquetera. Dicho disquete debe estar vacío o
contener datos que no necesite – DrakX formateará el disquete y lo sobre-escribirá por completo.
16
2.16. Instalación de actualizaciones desde la Internet
Es probable que cuando instale MandrakeSecurity algunos paquetes se hayan actualizado desde la publica-
ción inicial. Se pueden haber corregido algunos errores, y solucionado problemas de seguridad. Para permitir
que Usted se beneficie de estas actualizaciones, ahora se le propone transferirlas desde la Internet. Elija Sí si
tiene funcionando una conexión con la Internet, o No si prefiere instalar los paquetes actualizados más tarde.
Si responde Sí se muestra una lista de lugares desde los que se pueden obtener las actualizaciones. Elija el más
cercano a Usted. Luego aparece un árbol de selección de paquetes: revise la selección y presione Instalar para
transferir e instalar los paquetes seleccionados, o Cancelar para abortar.
17
2.17. ¡Se terminó!
Ya está. Ahora la instalación está completa y su sistema GNU/Linux está listo para ser utilizado. Escriba con
cuidado la URL que se le da en ese diálogo, es la dirección que Usted tendrá que utilizar en su navegador web
para acceder a la interfaz web de MandrakeSecurity con la cuenta admin. Ahora, simplemente haga clic sobre
Aceptar dos veces para volver a arrancar el sistema.
2.18. Como desinstalar Linux

El proceso de desinstalación consta de dos pasos:
1. Borrar todas las particiones en su disco rígido y reemplazarlas por una única partición FAT por medio de
DiskDrake .
2. Desinstalar el cargador de arranque del Sector de Arranque Maestro (MBR) Para hacer esto, arranque
bajo DOS y ejecute el comando fdisk /mbr.
Si tiene otro sistema operativo, por favor consulte la documentación del mismo para determinar como
realizar la misma operación.
Adiós, ¡y gracias por utilizar MandrakeSecurity !
18
Presentando la interfaz MandrakeSecurity
Los capítulos siguientes están dedicados a la utilización de la herramienta de administración web de Mandra-
keSecurity , que le permite controlar de manera remota a su cortafuegos desde cualquiera de las máquinas en
su LAN. El primero, Configuración básica de MandrakeSecurity, página 21, lo guiará por la configuración básica
de su cortafuegos. Podrá crear cuentas, detectar y añadir tarjetas de red (NICs), configurar un servidor de
registro del sistema, así como también configurar su hora local y configurar un servidor NTP (Network Time
Protocol, Protocolo de la Hora de Red)
Luego viene Configurando el acceso a la Internet, página 33, que lo guiará para que pueda configurar la conexión
de su servidor con la Internet. El tercero, Servicios: DHCP, Proxy, DNS, y más, página 51, le permitirá configurar
servicios como DHCP, DNS y ajustes del proxy web. También podrá activar un IDS (Intrusion Detection System,
Sistema de Detección de Intrusiones) como Prelude y Snort , así como también bloquear ciertos dominios o
URL que no desea que visiten sus usuarios.
Configurando el comportamiento propiamente dicho del cortafuegos, página 69 cubre todas las pantallas que se in-
cluyen en la sección Reglas del Cortafuegos de MandrakeSecurity . En esta sección de la interfaz web, también
podrá permitir/negar el tráfico entre las zonas.
Finalmente, nos concentraremos en el monitoreo del sistema (esencial para garantizar una operación sin so-
bresaltos de su sistema cortafuegos) en Monitoreando el cortafuegos, página 117 y en las herramientas para
mantener su sistema en Herramientas de administración, página 129.
¡Esperamos que disfrute de MandrakeSecurity !
20
Capı́tulo 3. Configuración básica de MandrakeSecurity
3.1. Introducción
En este capítulo presentaremos brevemente la interfaz y cómo navegar por la misma. Esta se compone básica-
mente de un menú que lleva a asistentes de configuración.
3.1.1. Conectando
La conexión al servidor cortafuegos desde cualquier cliente se realiza por medio de cualquier navegador
web gráfico moderno. La comunicación está cifrada por completo, de forma tal que nadie puede espiar la
información que se transmite, en especial las contraseñas.
Para iniciar la sesión, ingrese en el campo de ubicación de su navegador la URL que se le dió en la última
pantalla del proceso de instalación. Debería ser una dirección parecida a la siguiente:
https://192.168.1.160:8443/
donde 192.168.1.160 es la dirección IP del cortafuegos que Usted eligió en su red LAN.
Luego obtendrá algunas pantallas sobre un certificado, acéptelas. Finalmente aparece la pantalla de bienveni-
da de MandrakeSecurity (Figura 3-1)
Figura 3-1. La ventana de conexión para conectarse a MandrakeSecurity
Complete con el login y contraseña de admin como se definieron durante la instalación. Siempre que se le pida
identificarse para conectarse a la interfaz, utilice la cuenta admin. La primera vez que se conecte debe cambiar
la contraseña, consulte Cambiando la contraseña del administrador, página 28.
21
Capítulo 3. Configuración básica de MandrakeSecurity
3.1.2. La interfaz
Figura 3-2. Pantalla de bienvenida de MandrakeSecurity
La interfaz está diseñada de manera tradicional con un menú de dos niveles sobre la izquierda y un marco
de contenido sobre la derecha. Este último contendrá los pasos diferentes de cada asistente correspondiente
al segundo nivel de las entradas del menú seleccionado. Más adelante, denominaremos “sección” al tema
cubierto por una entrada del menú de primer nivel, y “sub-sección” para las entradas de menú de segundo
nivel.
Cada página del asistente se compone de:
• texto informativo: de qué se trata la pantalla,

• campos de entrada del usuario: para completar o seleccionar de acuerdo a sus elecciones;
• botones: para llevar a cabo acciones especiales.
También hay iconos, estos son los más importantes:
El botón Ayuda. Muestra una ventana emergente con ayuda sobre esa pantalla en
particular, que le informa el significado de los distintos elementos presentes en la misma.
El botón Cancelar. Descarta todos los cambios realizados desde el comienzo del asistente
y regresa a la página principal de MandrakeSecurity .
El botón Anterior. Vuelve al paso anterior del asistente.
El botón Siguiente. Avanza al paso siguiente del asistente. Note que las elecciones
realizadas en una página no se validan hasta que se presione el botón Aplicar.
El botón Aplicar. Cuando Usted llega a la última pantalla de un asistente, este botón le
permite confirmar las elecciones y las aplica al sistema. No debe olvidarse de utilizarlo
cuando haya finalizado un asistente o ¡perderá todos sus cambios!
3.1.3. Desconexión
Es muy importante desconectarse de manera explícita de la interfaz cuando haya terminado con todas sus
22
tareas, o siempre que se aleje de su escritorio por un cierto tiempo. En realidad, el simple hecho de cerrar el
navegador generalmente no es suficiente ya que el servidor no tiene forma de saber eso, y alguien que utilice
su computadora justo después que Usted podría tomar su sesión donde Usted la dejó.
Figura 3-3. La entrada del menú para desconectarse
Siempre que termine con una sesión, simplemente debe hacer clic sobre ese icono. La próxima vez que intente
volver a conectarse se le volverá a pedir que se identifique.
3.2. Configuración básica del sistema
Esta sección es para la configuración básica del servidor. También permite que el administrador cambie su
contraseña para acceder a la interfaz.
3.2.1. Configuración general del sistema
La información que se muestra aquí es muy general y sin embargo, esencial. Su sistema debe estar asociado con
un nombre así como también con un nombre de dominio. Los campos Sistema y Tiempo que lleva encendido
le dan información básica acerca de su sistema.
Se atribuirá un nombre al sistema. Luego, dicho nombre se asignará a una red local. En este punto, los pará-
metros a ingresar dependen de si Usted tiene o no un acceso permanente a la Internet con una dirección IP
fija.
Nombre del sistema cortafuegos.empresa.net
Este campo contiene el nombre completo de host de su máquina: el nombre de la máquina seguido del nombre
de dominio, por ejemplo: cortafuegos.empresa.net.
Nombre de dominio empresa.net
Este campo contiene el nombre de dominio de la máquina. Si Usted posee un nombre de dominio y tiene los
23
DNS necesarios apuntando a su dirección IP, utilícelo aquí. En caso contrario, use el nombre de dominio de su
proveedor de servicios de Internet (ISP).
Información del sistema Linux cortafuegos.empresa.net 2.4.18-8.1mdksecure #1 ...
En este campo se lista, en orden: 1) el tipo de sistema operativo, 2) el nombre completo de la máquina, 3) la
versión del núcleo, 4) la fecha en la que fue instalado, y 5) el tipo de procesador.
Tiempo que lleva encendido 4:33pm up 1 day, 23:26, 7 users, load average: 0.00, 0.00, 0.00
En este campo se lista, en orden: 1) la hora local, 2) el tiempo que lleva encendido (en días, minutos y segun-
dos), 3) la cantidad de usuarios conectados, 4) y el promedio de carga en los últimos 1, 5, y 15 minutos.
Modificar marca verde
Haga clic sobre esta casilla si desea cambiar el nombre del sistema y/o el nombre de dominio.
3.2.1.1. Propiedades del sistema
Esta sección lo ayudará a cambiar el nombre del sistema y el nombre de dominio.
Cuando haya finalizado, haga clic sobre el botón Siguiente, luego sobre el botón Aplicar. Luego se lo traerá
de vuelta a la página del grupo de propiedades del sistema, que muestra el nombre del sistema, el nombre de
dominio, la información del sistema y los datos de tiempo que lleva encendido ("uptime") el sistema.
24
3.3. Configuración de tarjetas Ethernet
Esta pantalla lista las tarjetas interfaz de red (NIC) configuradas actualmente en su máquina. Le permitirá
seleccionar una tarjeta en particular y volver a configurarla, o añadir otra tarjeta.
Zona Dirección IP Máscara de sub-red Activa Proto. de arranque

eth0 wan sı́ dhcp editar quitar admin
eth1 lan 10.0.0.1 255.255.255.0 sı́ estática editar quitar admin
Cada línea se corresponde a una NIC física en su computadora:
• para volver a configurarla, haga clic sobre el icono de texto a la izquierda del cesto de residuos. También
se le permitirá seleccionar si desea (o no) activarla al arranque en la Página de configuración de la interfaz
Ethernet;
• para permitir que la red asociada a esta interfaz se conecte a la interfaz web, haga clic sobre Admin (vea
"Interfaz de administración" más abajo);
• para quitarla, haga clic sobre el cesto de residuos.
Luego viene la Interfaz de administración, que indica la interfaz a través de la cual se permiten las conexio-
nes administrativas. Esto significa que su cortafuegos tendrá que ser administrado desde una computadora
conectada a la sub-red que está asociada con la tarjeta mencionada antes. Desde la misma puede tomar dos
acciones:
• - Detectar las NICs corrientes: al hacer clic sobre ese icono se lanzará un proceso de detección
automática de las NICs. Debe usarlo si instaló con anterioridad una NIC nueva en su computadora. No-
ta: luego que haga clic, puede tomar algo de tiempo para que aparezca la pantalla siguiente mientras la
computadora está detectando las tarjetas nuevas.
• - Añadir manualmente una NIC: si la acción anterior fallase, puede configurar manualmente su
tarjeta haciendo un clic sobre ese icono.
25
3.3.1. Detección de las interfaces Ethernet
Esta pantalla muestra la NIC (o NICs) que recién han sido detectadas automáticamente en su máquina. Si la
tarjeta que desea configurar no aparece aquí, regrese a la página anterior y haga clic sobre el botón Añadir una
NIC manualmente.
Controlador Mac Dirección IP Máscara de sub-red Activa Al arrancar

Eth0 ne2k-pci 00:40:05:E2:55:F6 192.168.1.160 255.255.255.0 sı́
Cada línea corresponde a una NIC física en su computadora. Para seleccionarla y configurarla como su interfaz
de acceso a la red local, haga clic sobre el icono Editar (junto a la columna Protocolo y a la izquierda del cesto
de residuos) y complete los campos en blanco.
3.3.2. Configuración de la interfaz Ethernet para su(s) red(es) local(es)
26
En esta sección debe definir los parámetros de la tarjeta interfaz necesarios para satisfacer las necesidades
de su(s) red(es) local(es). Puede ser que algunos ya se hayan elegido durante la instalación o una configura-
ción previa y/o completados con valores estándar. Realice las modificaciones necesarias para satisfacer sus
necesidades actuales.
Conectada a la Zona denominada lan
Debe elegir en qué tipo de red estará trabajando. Aquí tiene sus opciones:
• lan, o sistemas en su(s) red(es) local(es). Estos sistemas deben protegerse de la Internet y de la DMZ y, en
algunos casos, de los pares. Elija esta zona para definir su red local;
• dmz, que significa Zona DesMilitarizada. Elija esta zona si debe poder acceder a sus sistemas desde la
Internet y desde la red local;
• wan - red de área extensa. Puede ser pública o privada y asegura la interconexión entre redes de compu-
tadoras fuera de su LAN (la Internet). Seleccione este tipo de zona para conectarse directamente al mundo
externo.
Dirección IP 192.168.1.1
Complete este campo si tiene una dirección IP estática para esa interfaz. Esta es la dirección de su servidor: es
esencial ya que los sistemas cliente se referirán a la misma.
Máscara de sub-red (ej..: 255.0.0.0) 255.255.255.0
En este campo, ingrese el nombre de la máscara de sub-red relacionada a la red donde está conectada esta
interfaz.
Ahora, configure el protocolo de arranque a utilizar cuando se inicializa esta interfaz. Esto depende del proto-
colo que utiliza su ISP. Seleccione la casilla adecuada, es decir, una de las siguientes:
• estática. Esta es una dirección IP permanente asignada al servidor por su ISP;

• dhcp. Esta es una dirección IP dinámica asignada por el ISP al arrancar. La mayoría de los ISPs de cable y
DSL utilizan alguna forma de DHCP para asignar una IP a su sistema. También, las estaciones de trabajo
deberían configurarse de esta manera para simplificar la administración de la red;
• bootp. Permite que una máquina Linux obtenga su información de red de un servidor a través de la red.
Luego, puede decidir si desea, o no, que esta interfaz se active al arrancar.
Cliente DHCP (opcional) dhcpd
Este campo le permite elegir el tipo de cliente DHCP que será utilizado en su red. Puede seleccionar uno de
los siguientes:
• dhcpcd - demonio cliente que obtiene una dirección IP y otra información de un servidor DHCP, configu-
ra automáticamente la interfaz de red, e intenta renovar el período de "leasing" de acuerdo a RFC2131 o
RFC1541 (que se considera obsoleto);
• pump - demonio cliente para BOOTP y DHCP. Permite a su máquina recuperar la información de configu-
ración de un servidor.
• dhclient - con este, puede configurar una o más interfaces de red que utilicen el protocolo DHCP o BOOTP;
• dhcpxd - el objetivo principal del mismo es cumplir con la especificación DHCP definida en RFC2131. So-
porta un proceso por sesión y también puede manejar sesiones del tipo todas-en-un-proceso. Una de sus
características más avanzadas reside en los scripts que se ejecutan cuando se necesitan, para poder ajustar
todo lo necesario para configurar las interfaces.
27
Finalmente, puede elegir completar el campo de nombre de host DHCP (opcional) con el valor apropiado.
3.4. Cambiando la contraseña del administrador
Este formulario le permitirá modificar la contraseña de la cuenta del administrador (admin). Es recomendable
que la cambie periódicamente.
Nombre de login admin

Contraseña nueva ********
Contraseña nueva (otra vez) ********
Debe elegir una contraseña segura. Intente seleccionar alguna que incluya letras mayúsculas y minúsculas y
caracteres especiales, como por ejemplo el signo de interrogación (?). Cuando haya finalizado, haga clic sobre
el botón Cambiar
3.5. Registro del sistema sobre las máquinas locales/remotas
Los registros son una parte esencial de un sistema crítico con respecto a la seguridad como un cortafuegos.
El registro no solo le brinda información en tiempo real de lo que está sucediendo en el sistema, sino que
también lleva la pista de la historia de los sucesos en el mismo, es decir: cuando algo va mal en el sistema -
una colgadura o una intrusión - encontrará por qué ocurrió y generalmente determinará una solución.
28
Antes que nada, puede elegir activar (o no) el sistema de registro en la máquina local (el cortafuegos en
sí mismo). Por supuesto, esto sólo será relevante si hay un monitor conectado directamente a la máquina
cortafuegos. Será posible controlar:
Servidor Syslog (ej.: 10.1.1.10) Puede elegir ingresar el nombre del servidor Syslog (ej.:
syslog.empresa.com) o la dirección IP. Si no conoce la dirección IP,
puede utilizar el comando ifconfig como root, o /sbin/ifconfig como
un usuario no privilegiado.
Luego ingrese la dirección de su servidor Syslog. Esta es una manera de asegurar mejor sus registros, evitando
almacenarlos directamente en su servidor y haciéndolo en una máquina distinta.
Nivel para el registro de red Info
Este parámetro controla la cantidad de información que se mostrará, de acuerdo al nivel que elija:
• Info: muestra todos y cada uno de los mensajes del cortafuegos, desde los mensajes normales de operación
hasta los críticos.
• Notas: muestra los mensajes que, si bien no son problemáticos para el sistema, no son usuales.
• Advertencia: le informa que puede estar ocurriendo algo fuera de lo común y que debería comenzar a
pensar en tomar acción.
• Error: muestra los mensajes de error que pueden conducir a un mal funcionamiento del sistema.
• Críticos: muestra mensajes que indican que su sistema está en peligro serio.
• Alerta: le informa que debe tomar acción de inmediato.
• Pánicos: muestra sólo los mensajes críticos que por lo general llevan a la falla del sistema. En este punto, su
sistema no se podrá utilizar. A menos que sepa exactamente lo que está haciendo, es altamente recomenda-
ble no elegir este nivel.
3.6. Configuración de la hora
Antes que nada, el asistente le sugerirá dos opciones para la configuración interna de la hora.
Haga clic sobre el icono "Modificar" relacionado con lo que Usted desea configurar:
• Fecha y hora: si no tiene un servidor NTP, haga clic sobre el botón "Modificar" para configurar manualmente
la hora y fecha actuales en la máquina.
29
• Huso horario y dirección del servidor NTP: haga clic sobre el botón "Modificar" bajo el campo Dirección
del servidor NTP (opcional) para indicar la ubicación física del servidor y, eventualmente, configurar un
servidor de la hora, que ajustaría automáticamente la fecha y hora del sistema.
3.6.1. Configuración de la fecha y la hora
Simplemente ingrese la fecha y hora corrientes en los campos respectivos:
Fecha (mm/dd/aa) 04/17/02

Hora 24-horas (hh:mm:ss) 17:07:58
Luego, aplique sus modificaciones haciendo clic sobre el botón "Cambiar".
3.6.2. Configuración del huso horario y del servidor NTP
Debe elegir el huso horario de su ubicación geográfica e indicar la presencia eventual de un servidor NTP.
Huso horario America/Buenos_Aires

Dirección del servidor NTP ntp.mico.com
(opcional)
En la lista de husos horarios seleccione el huso horario y luego la ciudad más cercana a donde se encuentre el
cortafuegos.
Eventualmente, puede ingresar el nombre de un servidor NTP (Network Time Protocol - Protocolo de hora de
red) que ajusta y verifica automáticamente y periódicamente su el reloj del sistema. Si su compañía tiene su
propio servidor, utilice ese. De lo contrario, puede utilizar un servidor público de los que se listan en el sitio
30
web de servidores NTP secundarios (stratum 2) (http://www.eecis.udel.edu/~mills/ntp/clock2.htm).
31
32
Capı́tulo 4. Configurando el acceso a la Internet
Esta sección le permite configurar la(s) manera(s) en la(s) que su servidor accederá a la Internet. Le permite la
configuración de las interfaces con los protocolos soportados por su versión de MandrakeSecurity . También
puede definir todas las cuentas de su proveedor.
4.1. Estado del acceso a la Internet
Esta página introductoria a los asistentes de configuración del acceso a la Internet resume la configuración
corriente de acceso a la Internet y permite al administrador subir o bajar la conexión manualmente. También
permite probar la conexión.
La primer parte resume todos los parámetros de acceso a la Internet para la configuración corriente: tipo,
interfaz, información de la cuenta, etc.
Luego viene el estado de acceso: o bien "Arriba" o "Abajo" e información adicional acerca de la conexión
corriente. Lo siguen tres botones:
• Iniciar: iniciar manualmente la conexión con la Internet con la configuración corriente como se muestra
arriba.
• Detener: Forzar la desconexión de la conexión con la Internet.
33
Capítulo 4. Configurando el acceso a la Internet
• Probar: actualizar el estado de acceso a la Internet que se muestra arriba.

Para realizar esta prueba, simplemente se intenta realizar un "ping" a una máquina externa. Si desea probar la
conexión con una máquina específica, ingrese la IP de la misma aquí, en el campo siguiente:
Máquina de prueba remota 198.41.0.6
4.2. Configuración del módem analógico
Este formulario contiene todos los parámetros necesarios para configurar una conexión con la Internet por
medio de un módem analógico estándar. Debe asegurarse que tiene todos los parámetros que le brindó su ISP.
Primero puede haber algunos recordatorios acerca de la configuración actual de la conexión con la Internet.
Nombre de conexión Mi Gran conexión con la Internet
Complete este campo con cualquier nombre apropiado para la configuración de manera tal que Usted pueda
recordar la conexión para la cual dicho nombre es relevante.
Luego puede intentar detectar automáticamente el módem conectado a su máquina, haciendo clic sobre el
icono: (Detectar).
34
Lista de módems detectados ttyS0
Esta lista contiene todos los módems detectados en los puertos de su máquina (En este ejemplo, el primer
puerto serie). Elija el que desea utilizar para esta conexión.
Puerto del módem ttyS1 (COM 2)
Si no se pudo detectar su módem, siempre puede seleccionar manualmente, en esta lista, el puerto al cual está
conectado.
Velocidad del módem 57600
Simplemente elija la velocidad de transferencia máxima de su módem (en bits/segundo).
Comando PPP especial
En caso que su conexión necesite pasarle opciones especiales al demonio pppd, puede ponerlas aquí. En la
mayoría de los casos aquí no debería necesitar poner cosa alguna.
Dominio del proveedor miproveedor.net
El nombre de dominio de su proveedor
Numero telefónico del proveedor 0123456587
El número telefónico para conexiones con el proveedor de Internet. También ingrese los prefijos necesarios de
la conexión telefónica que esté utilizando.
Nombre de login pepe

Contraseña ******
Contraseña (confirmar) ******
Aquí ingrese con cuidado el nombre de conexión y contraseña que le proveyó su ISP.
Autenticación PAP
El mecanismo de autenticación que utiliza su ISP. Por lo general es PAP.
DNS 1 del proveedor 123.231.123.122

Los Servidores de nombres de dominio de su ISP.

Cuando haya completado todos los campos, avance al paso siguiente. Podrá revisar todos los parámetros y
luego confirmar sus elecciones. La conexión se configurará de inmediato.
Si desea quitar una cuenta de discado telefónico, haga clic sobre Cuentas de Internet en el menú de la izquier-
da.
35
4.2.1. Lista de módems analógicos
Esta página muestra todos los módems detectados en su máquina. Debe asegurarse que los módems están
alimentados y conectados correctamente antes de abrir esta página.
Lista de módems detectados ttyS0 (COM1)
En el menú desplegable, simplemente elija el puerto al cual está conectado el módem en cuestión, y avance al
paso siguiente.
4.3. Configure su acceso a la Internet por RDSI
4.3.1. Elija el tipo de tarjeta RDSI
Este primer paso del asistente de configuración RDSI le brinda varias opciones:
• Detectar una tarjeta interna: si selecciona este icono aparecerá una lista de las tarjetas RDSI detectadas en su
máquina. Si tiene una tarjeta interna pruebe esto primero. De lo contrario, deberá:
• Seleccionar una tarjeta interna: si el paso anterior ha fallado, se mostrará una lista de las tarjetas RDSI
soportadas.
• Configurar un módem externo: seleccione este icono si tiene un módem externo y no una tarjeta RDSI
interna.
36
4.3.2. Elija la tarjeta RDSI
Aquí se le presenta la lista de tarjetas RDSI detectadas en su máquina.
Simplemente seleccione la tarjeta que desea utilizar para su conexión con la Internet y avance al paso siguiente.
Si su tarjeta no está en la lista, haga clic sobre "Configurar manualmente una tarjeta interna".
4.3.3. Elija el modelo de la tarjeta RDSI
Simplemente seleccione el nombre del modelo de su tarjeta en la lista de modelos sugeridos, y avance al paso
siguiente.
Si el modelo de su tarjeta no está en la lista, averigüe con qué modelo es compatible en la documentación que
se le proporcionó con la tarjeta.
37
4.3.4. Elija el proveedor y el protocolo para el acceso RDSI
Aquí se le presenta una amplia lista de los proveedores que existen alrededor del mundo. Si el suyo no está
presente, necesitará configurarlo manualmente.
Primero debe indicar qué protocolo utilizar, esto dependerá de su ubicación geográfica:
• Europa
• Resto del mundo
Luego, necesita configurar su proveedor de alguna de las maneras siguientes:
• Seleccione su proveedor: encuentre su proveedor en la lista, organizada por país, ciudad y finalmente nom-
bres de proveedores. Si el suyo está allí, ¡genial!, simplemente debe seleccionarlo y avanzar al paso siguiente.
• Edite manualmente la información de su proveedor: si el nombre de su proveedor no aparece en el listado
de arriba, seleccione ese icono.
38
4.3.5. Configuración del acceso RDSI
Este formulario lista todos los parámetros necesarios para configurar una conexión con la Internet por RDSI.
Debe asegurarse que tiene todos los parámetros necesarios o debe pedirlos a su ISP.
Si su proveedor está en la lista, simplemente complete los campos vacíos.
Su login RDSI pepe

Su contraseña RDSI ******
Su contraseña RDSI (confirmar) ******
Aquí, ingrese con cuidado el nombre de login y contraseña provistos por su ISP.
Su número telefónico personal 01.40.41.42.43
Aquí se necesita el número telefónico que Usted utiliza para conectarse a la Internet por medio de RDSI.
Nombre del proveedor Mi proveedor RDSI favorito

Número telefónico del proveedor 01.12.56.89.23
Una cadena de caracteres simple para identificar primero a su proveedor y luego al número telefónico que
Usted debe discar para conectarse al servicio RDSI de dicho proveedor.
39

Los Servidores de nombres de dominio de su ISP.
Detección de tarjeta RDSI ELSA Quickstep 1000 (PCI)
Esto indica el nombre de la tarjeta que se está configurando.
Modo de discado Automático/Manual
Seleccione cómo se conectará a la Internet:
• Automático: siempre que el servidor recibe un pedido de Internet compatible con las reglas de tráfico sa-
liente del cortafuegos, se realizará automáticamente la conexión.
• Manual: esta opción necesitará la intervención del administrador para conectar y desconectar manualmente
la conexión cuando sea necesario.
IRQ de la tarjeta RDSI 12

E/S de la tarjeta RDSI 0x300
Si no se pudo detectar su tarjeta, deberá proporcionar esa información. De lo contrario, no realice cambios en
los campos.
Cuando se han completado, o dejado en blanco según sea necesario, todos los campos, avance al paso siguien-
te. Podrá revisar todos los parámetros y luego confirmar sus elecciones. Se configurará inmediatamente la
conexión.
40
4.4. Configuración de la conexión ADSL
4.4.1. Configuración del tipo de protocolo ADSL
Aquí, seleccione el protocolo específico que utiliza su proveedor de servicios de Internet (ISP).
Elija el protocolo apropiado haciendo clic sobre la casilla correspondiente. Si tiene dudas, debe consultar con
su ISP.
• Protocolo de túnel punto a punto (PPTP)

• Punto a punto sobre Ethernet (PPPoE)
• Protocolo de configuración dinámica del host (DHCP)
41
4.4.2. Configurar una conexión DSL (ADSL)
Esta es la primer pantalla del asistente que lo guiará a través del proceso de configurar una conexión DSL con
la Internet. Antes que nada, seleccione la tarjeta interfaz de red (NIC) para utilizar para este propósito.
En la lista de sugerencias, haga clic sobre el nombre de la interfaz que desea utilizar para la conexión Ca-
ble/LAN. Si su tarjeta específica parece no estar, intente detectarla haciendo clic sobre el botón "Detectar".
4.4.3. Añadir interfaz Ethernet
Esta página muestra las interfaces que se detectaron en su sistema cortafuegos.
Simplemente seleccione el nombre (ETHx) de la tarjeta adecuada.
42
4.4.4. Configuración de la interfaz Ethernet para su acceso a la Internet
Aquí se definen los parámetros de la tarjeta interfaz necesarios para configurar los parámetros de su acce-
so xDSL. La mayoría de los parámetros ya habrán sido seleccionados o completados con valores estándar
automáticamente: simplemente debe verificar que se corresponden con sus necesidades.
Dirección IP (ej.: 10.0.0.1) 10.0.0.1
Complete este campo si tiene una dirección IP estática para esa interfaz. Debe asegurarse que es la que Usted
tiene asignada.
Máscara de sub-red (ej.: 255.0.0.0) 255.255.255.0
Complete este campo con la máscara de sub-red a la que está conectada esta interfaz. Debe asegurarse que es
la que Usted tiene asignada.
Pasarela predeterminada (ej.: 10.0.0.250

10.0.0.138)
Esta es la pasarela a través de la cual pasarán sus pedidos para la Internet. Este parámetro es crucial para que
su máquina cortafuegos pueda acceder a la Internet.
Finalmente, puede decidir si esta interfaz se activará o no cada vez que arranque la máquina.
43
4.4.5. Configuración de la cuenta de Internet para su acceso DSL
Para que su proveedor lo autentique como un usuario, Usted necesita brindar información acerca de su cuenta.
Su ISP debería haberle proporcionado los parámetros necesarios.
Nombre de usuario pepe

Contraseña ******
Contraseña (confirmar) ******
Ingrese con cuidado el nombre de login y contraseña que le proporcionó su ISP. Por lo general, ambos distin-
guen entre mayúsculas y minúsculas.
Nombre del proveedor Mi proveedor favorito de ADSL

La primer cadena de caracteres simple identifica a su proveedor y las siguientes a los Servidores de Nombres
de Dominio (DNS) de su ISP.
Una vez que estén completos todos los campos, avance al paso siguiente. Podrá revisar todos los parámetros
antes de confirmar sus elecciones. La conexión se configurará inmediatamente.
44
4.5. Configuración de la conexión por Cable/LAN
4.5.1. Configurar una conexión por Cable o LAN
Esta pantalla aparece cuando Usted ha configurado previamente ese tipo de conexión con la Internet. La
misma resume la configuración corriente.
• Haga clic sobre el botón "Cambiar" si desea utilizar otra NIC para ese acceso a la Internet.
• Haga clic sobre el botón "Configurar" si desea volver a configurar la NIC seleccionada.
45
4.5.2. Configurar una conexión por Cable/LAN
Esta pantalla es la primera del asistente que lo guiará a través del proceso de configuración de una conexión
a la Internet por medio de Cable/LAN. Básicamente, ambos tipos de conexión son idénticos. Esta es la razón
por la cual se tratan juntas. Primero, seleccione la tarjeta interfaz de red (NIC) a utilizar para este propósito.
En la lista de sugerencias, seleccione el nombre de la interfaz que desea utilizar para la conexión por Ca-
ble/LAN.
4.5.3. Configuración de al interfaz Ethernet para su acceso a la Internet por Cable/LAN
46
Aquí definirá los parámetros de la tarjeta interfaz necesarios para satisfacer las necesidades de su acceso
por Cable/LAN. La mayoría de los parámetros ya habrán sido seleccionados y los campos completados con
valores estándar. Comience por validar los valores.
Dirección IP 10.0.0.1
Complete este campo si tiene una dirección IP estática para esta interfaz. Debe asegurarse que es la que le ha
sido asignada ya que las direcciones IP conflictivas pueden resultar en repetidos problemas intermitentes de
acceso a la Internet.
Máscara de sub-red 255.255.255.0
Complete este campo con la red correspondiente a la que está conectada esta interfaz. Debe asegurarse que es
la que Usted tiene asignada.
Pasarela predeterminada 10.0.0.250
Esta es la pasarela a través de la cual pasarán sus pedidos a la Internet. Este parámetro es crucial para permitir
que su máquina cortafuegos alcance la Internet.
Luego, debe indicar qué protocolo de arranque se debe utilizar cuando se inicializa esta interfaz. Esto depende
del protocolo que utilice su ISP. Seleccione uno de los siguientes:
• estático; si tiene un dirección IP específica asignada para su servidor (la mayoría de los casos para los servi-
dores)
• dhcp; si este protocolo configura automáticamente su dirección
• bootp; si este protocolo configura automáticamente su dirección.
Finalmente, puede decidir si desea, o no, activar automáticamente esta interfaz al arrancar.
Luego viene la configuración de su máquina como un miembro de la Internet.
Nombre externo del sistema www.mi_empresa.org

Nombre de dominio externo mi_empresa.org
Complete esos campos con la identificación externa de su máquina cortafuegos.
DNS externo 1 123.123.123.123

DNS externo 2 123.123.123.124
Las IP de esos DNS generalmente se corresponden con los Servidores de nombres de dominio de su ISP.
47
4.5.4. Cable/LAN - Aplicando los cambios a la configuración de Internet
Este es el último paso para configurar el acceso a la Internet por Cable/LAN.
Revise todos los parámetros y haga clic sobre "Aplicar" para activar su modificación.
48
4.6. Configuración de las cuentas del proveedor
Esta pantalla presenta la configuración actual del acceso a la Internet. En caso que Usted posea varias cuentas
de proveedor también le permite cambiar de una cuenta a otra dentro del mismo tipo de acceso.
La primer parte de la pantalla le informa acerca del acceso a la Internet que está en uso actualmente: tipo,
interfaz, proveedor.
Luego viene la lista de cuentas asociadas al tipo corriente de conexión a la Internet.
DNS1 TeléfonoProv DNS2 Contrase~
na Login Aute
free.fr 123.456.78.1 01010101 123.456.789.2 SecreTo pepe PAP quitar
proveedor.net 123.456.75.1 02313654 123.456.785.2 MuySecreTo popo PAP quitar
Cada cuenta se compone de ocho campos:
• Dominio del proveedor: haga clic sobre el mismo si desea activar esta cuenta.
• DNS1: el primer servidor DNS de este proveedor.
• TeléfonoProv: si aplica, dice el número telefónico que necesita discar el módem para acceder al proveedor.
• DNS2: el segundo servidor DNS de este proveedor.
• Contraseña: la contraseña asociada con el login.
• Login: el login (nombre de conexión) correspondiente con la cuenta de su proveedor.
• Aute: si aplica, el protocolo de autenticación utilizado para conectar con el proveedor.
• quitar: haga clic sobre este vínculo si desea quitar definitivamente esta cuenta de proveedor.
49
4.7. Restricción horaria
En caso que no tenga una conexión permanente, esta página le permitirá definir sus esquemas de conexión
con la Internet. Para cada uno de los tres períodos de tiempo definidos, se le darán cinco opciones para su
conexión.
• Conexión telefónica en horario de oficina: Defina los esquemas de conexión durante las horas de oficina
(8:00 a 18:00).
• Conexión telefónica fuera del horario de oficina: Defina los esquemas de conexión fuera del horario de
oficina (18:00 a 8:00).
• Conexión telefónica los fines de semana: Defina los esquemas de conexión durante los fines de semana
(sábado, domingo).
Para cada uno de estos períodos, elija una de las políticas siguientes:
• Sin conexión: La conexión está inactiva durante ese período.

• Tiempos de conexión cortos: Las conexiones se realizan por demanda, y el vínculo se corta cuando cesan los
pedidos. [sólo relevante para tipos de vínculo por módem analógico o RDSI]
• Tiempos de conexión medianos: Las conexiones se realizan por demanda, y el vínculo se corta un poco
después que han cesado los pedidos. [irrelevante para tipos de vínculo permanente]
• Tiempos de conexión largos: Las conexiones se realizan por demanda y el vínculo se corta mucho después
que han cesado los pedidos, de esta forma se minimizan las demoras promedio de conexión. [irrelevante
para los tipos de vínculo permanentes]
• Conexión continua: El vínculo con la Internet se mantiene durante ese período.
Cuando haya pasado por los tres períodos de tiempo diferentes el paso siguiente le mostrará las elecciones
que realizó recién. Debe revisarlas y avanzar al paso siguiente. Esto lo llevará de vuelta a la página principal
de filtrado del WebProxy.
50
Capı́tulo 5. Servicios: DHCP, Proxy, DNS, y más
Esta sección controla el uso de otros servicios, principalmente los servicios DHCP, DNS y de proxy.
5.1. Estado de los servicios que se brindan
Esta página describe el estado de los servicios que su máquina brinda.
Puede cambiarlos haciendo clic sobre los diferentes servicios, como por ejemplo el servidor DHCP, el proxy
web, el DNS de cacheo y la Detección de intrusiones, que se encuentran a la izquierda de la ventana de
MandrakeSecurity.
5.2. Servidor DHCP
51
Capítulo 5. Servicios: DHCP, Proxy, DNS, y más
Para permitir la configuración dinámica de las máquinas nuevas que se conectan a su LAN (Red de área
local), necesitará configurar un servidor DHCP en su cortafuegos. Cuando dichas máquinas se configuran
para utilizar un servidor DHCP al arrancar, se configurarán automáticamente los parámetros de red necesarios
para integrar a las mismas a la LAN. Entonces, sólo necesita configurar a los clientes para usar un servidor
DHCP. Esta característica está disponible en la mayoría de los sistemas operativos modernos.
Simplemente elija si desea (o no) utilizar un servidor DHCP seleccionando Sí o No y haciendo clic sobre el
botón Siguiente.
5.2.1. Configuración del servidor DHCP
Ahora debe informar a los scripts de conexión para que su ISP pueda autenticarlo. Su ISP debe haberle pro-
porcionado toda la información necesaria.
Interfaz en la que debería eth0

escuchar DHCP
Este campo contiene el nombre de la interfaz conectada a la LAN. Sólo aquellas computadoras que comparten
la misma sub-red con esa dirección obtendrán una respuesta del servidor DHCP.
Nombre de dominio del cliente empresa.com

(ej.: empresa.com)
Simplemente ingrese el nombre de dominio de su máquina en este campo.
IP del servidor WINS Si Usted alberga un servidor de nombres de dominio Windows en su

LAN, ingrese la IP del mismo en este campo. Así, el servidor DHCP le
dirá a las estaciones de trabajo Windows de su red, cuando estas
arranquen, cuál es la IP del servidor WINS, en vez de tener que
configurar cada estación de trabajo Windows por separado.
Comienzo del rango de IP (ej.: 24) 65

Fin del rango de IP (ej.: 75) 254
52
Esos campos contienen el rango de direcciones IP permitido para las máquinas cliente DHCP. El ejemplo
que se da es para una sub-red de clase C. Debe asegurarse que no incluye la primer IP (0 en ese caso) ni la
última (255) en el rango ya que las mismas están reservadas. Note que, por lo general, se reservan las primeras
direcciones para las máquinas con IP estática, mientras que las últimas las utilizan los servidores DHCP.
Lapso de tiempo predeterminado 21600

(21600 = 6hs)
Lapso de tiempo máximo (43200 = 43200
12hs)
La asignación de una IP a una máquina siempre está limitada en el tiempo. Cuando el cliente no configura el
período de "leasing" necesario, el servidor intervendrá y volverá a asignar una IP a cada máquina al final de
cada "Lapso de tiempo predeterminado". Sin embargo, se honrará un pedido de período de "leasing" inferior al
"Lapso de tiempo máximo". En caso contrario, se volverá a asignar una IP automáticamente luego del "Lapso
de tiempo máximo".
5.2.2. Servidor DHCP - Confirmando sus cambios
En esta etapa, la Página de Confirmación muestra los datos que se aplicarán al cortafuegos.
Si hace clic sobre el botón Aplicar, se guardarán todos sus cambios, reemplazando a los predeterminados o a
los anteriores. Si desea cambiar los parámetros haga clic sobre el botón Anterior, cambie los parámetros, haga
clic sobre el botón Siguiente, y aplique sus cambios.
53
5.3. Servidor proxy Squid
Para poder recordar los pedidos HTTP y FTP hechos desde dentro de su LAN hacia la Internet, necesitará
configurar un servidor proxy en su cortafuegos. Esto permite que una página, que piden dos usuarios dife-
rentes, se obtenga de la Internet sólo una vez, acelerando dramáticamente el acceso a esta página a la vez que
se ahorra el preciado ancho de banda.
MandrakeSecurity ha elegido al servidor proxy Squid. Este actúa como un agente, aceptando pedidos de los
clientes (por ejemplo, los navegadores web) y pasando dichos pedidos al servidor Internet apropiado. Luego
almacena una copia de los datos devueltos en un espacio reservado (caché) en disco.
Elija entre cuatro opciones antes de avanzar al paso siguiente:
• desactivar el servidor proxy: si elije no utilizar el proxy, los pedidos de sus usuarios se reenviarán directa-
mente al exterior;
• activar el proxy transparente: activa el proxy y lo configura para actuar como un proxy transparente, es
decir: los usuarios no deberán configurar sus clientes para permitirles utilizar el proxy ya que el proxy
intercepta y maneja automáticamente todos los pedidos.
• activar el proxy manual: igual que el anterior, pero los navegadores web cliente deben ser configurados
explícitamente para utilizar el servidor proxy instalado en su servidor MandrakeSecurity;
• activar el proxy manual con autenticación al nivel de usuario: igual que el anterior. ADVERTENCIA: debe
crear cuentas en la máquina cortafuegos Linux para los usuarios que están autorizados a conectarse a la
Internet.
54
5.3.1. Configuración principal del proxy
Aquí se configurarán los parámetros del proxy. Luego de decidir sobre algunos parámetros comunes, tiene la
opción de activar (o no) el filtrado de web.
Modo de Squid: manual
Este campo está definido por el Modo del servidor Proxy que eligió previamente entre "deshabilitado", "trans-
parente", "manual" o "manual con autenticación". En nuestro ejemplo, elegimos "manual".
Puerto de Squid (recomendamos 3328

3328)
Este es el puerto en la máquina cortafuegos en el cual Squid escuchará los pedidos. No es necesario realizar
cambio alguno aquí a menos que este puerto sea utilizado por otro servicio.
Tamaño del caché de Squid (en 100

MB)
Este campo le permite controlar la cantidad de datos en el espacio reservado que Squid puede almacenar y
manejar. Para que su caché sea eficiente, debería ajustar el espacio del mismo según la cantidad de usuarios:
para más usuarios, se necesita más espacio. El espacio puede variar entre 10 MB y 10 GB o más.
Seleccione el modo de Pam

autenticación
Este campo sólo se mostrará si Usted seleccionó el modo "manual con autenticación". Le permite elegir entre
PAM (Pluggable Authentication Modules - Módulos de autenticación "enchufables"), un mecanismo flexible
para autenticar usuarios (la acción predeterminada en MandrakeSecurity); LDAP (Lightweight Directory Ac-
cess Protocol - Protocolo "liviano" de acceso a directorios) que permite el acceso a servicios de directorio en lí-
nea; Samba, que lo conectará a su grupo de trabajo Samba, por ejemplo EMPRESA si Usted utiliza tal servidor;
y finalmente NIS (Network Information Service - Sistema de información de red), que facilita la comunicación
de información crítica a todas las máquinas a través de una red.
Correo electrónico administrativo root@empresa.com

de Squid
Ingrese el correo electrónico del administrador en este campo (root@empresa.com, en nuestro ejemplo) para
que sus usuarios sepan a quién contactar en caso que ocurra un problema para comentarle los bugs/problemas
(si es que hay alguno).
55
Una vez que regresa a la página principal del servidor proxy Squid, puede activar el filtrado web. Esta carac-
terística le permitirá negar o restringir el acceso a ciertas páginas en la Internet, dependiendo de la URL de las
mismas. Es útil bloquear el acceso a los carteles de promociones o el contenido adulto.
Puede filtrar por URL o por contenido. Seleccione el icono de texto para cualquiera de ellos. Luego, puede ver
las reglas de filtrado para las Redes autorizadas, Restricción de tiempo, Publicidad a quitar, URL de destino
prohibidas, IP privilegiadas, IP fuente prohibidas, o realizar una copia de respaldo/restauración de sus reglas.
5.3.1.1. Opciones LDAP
Para poder utilizar LDAP, necesita configurar parámetros básicos tales como los que siguen.
ou (ej.: personas) Primero, configure el atributo objeto de la categoría necesaria, por

ejemplo "personas" o "departamento".
dc (ej.: mdk) Luego, configure la variable objeto dc con su nombre de dominio, por
ejemplo "mandrake". La otra variable objeto dc debería configurarse
con su país, por ejemplo "ar" para Argentina.
IP del servidor LDAP Finalmente, ingrese la IP del servidor LDAP (ej.: 192.168.2.78) o el
nombre del mismo (ej.: ldap.mesd.k12.or.us).
5.3.1.2. Opciones de Samba
Esta página le permite configurar el nombre de su grupo de trabajo Samba.
Grupo de trabajo Samba (ej.: Simplemente ingrese el nombre de su grupo de trabajo Samba en el
MANDRAKESOFT) campo en blanco.
56
5.3.1.3. Opciones NIS
La página de autenticación NIS le permite configurar dos parámetros esenciales: el dominio NIS y la lista NIS.
Dominio NIS (ej.: En este campo ingrese su nombre de dominio NIS en el formato
yp.mandrakesoft.com) siguiente: yp.sudominio.com, es decir "yp" por Páginas Amarillas,
seguido de su nombre de dominio.
Lista NIS (usualmente Igual principio que para la lista NIS: comience por "yp" seguido de la
yp_lista.pornombre) raya baja ("_"), luego el nombre de la lista en el formato "lista.nombre".
5.3.2. URL a filtrar por el WebProxy
Ha activado el Guardián Proxy y esta página le permitirá configurarlo. Esta es la primer pantalla del asistente.
La misma realizará sugerencias para configurar los distintos aspectos del filtrado.
Primero debe marcar la sección a configurar y avanzar al paso siguiente:
• Red autorizada: ingrese las redes/máscaras que podrán utilizar los servicios del proxy.
57
• Restricción horaria: permite definir el horario de conexión, es decir: cuando pueden (o no) conectar las
personas.
• Publicidad a quitar: ingrese las URL o dominios completos de los sitios de publicidad. Las imágenes que
provienen de dichos sitios no se reenviarán a los clientes.
• URL de destino prohibidas: ingrese las URL o dominios completos para los cuales se debería bloquear todo
acceso.
• IP privilegiadas: ingrese las IP de las máquinas privilegiadas en su red local. Las mismas no tendrán restric-
ción alguna de las impuestas por el filtro a las otras máquinas.
• IP fuente prohibida: designa a aquellas máquinas que no tienen autorización alguna para utilizar el proxy.
• Copia de respaldo/Restauración: le permite hacer una copia de sus reglas del proxy así como también
restaurarlas.
Siempre que haya finalizado de configurar alguna de las secciones precedentes, se lo traerá de vuelta a esta
página.
5.3.2.1. Red/Máscara fuente autorizada
Este formulario le permitirá especificar qué sub-redes pueden utilizar los servicios del proxy. Si se deben
especificar distintas clases de máquina en su red (una para las personas que pueden acceder a la web, la otra
para las personas que no pueden), tendrá que crear una sub-red para las máquinas autorizadas y asignar las
IP de acuerdo al estado de autorización particular que se ha garantizado a la computadora.
Red/Máscara autorizada 192.168.1.0/25
En este campo, ingrese la dirección IP/Máscara de red de la sub-red (el ejemplo mostrado designa el rango
de IP desde 192.168.1.0 a 192.168.1.127 - donde 0 es su dirección de red y 127 su dirección de difusión). Luego
58
haga clic sobre el botón Añadir: Aparecerá la dirección en la lista en la parte inferior de la página.
Si desea quitar una IP de la lista, simplemente debe seleccionarla y hacer clic sobre el botón Quitar: .
Cuando haga pasado por las listas, avance al paso siguiente. Esto lo llevará de vuelta a la página principal de
filtrado del WebProxy.
5.3.2.2. Restricción horaria
Este formulario le permite definir los períodos horarios dentro de los cuales se permitirá el acceso al proxy.
Note que esto no afecta a las máquinas privilegiadas de su red local. Fuera de estos períodos horarios, las
máquinas restringidas no podrán navegar por la web.
Primero necesita elegir si habilitar o deshabilitar esta característica. Si la habilita tendrá que definir los períodos
horarios en cuestión: hay dos períodos por día hábil.
Dom AM 09:00-13:00
Debe asegurarse de respetar estrictamente el formato como se ilustra: HH:MM-HH:MM. Modifique todos los
períodos según su conveniencia.
Cuando haya finalizado con todos los períodos, avance al paso siguiente. Se le mostrará las elecciones que
hizo. Debe revisarlas y avanzar al otro paso. Esto lo llevará de vuelta a la página principal de filtrado del
WebProxy.
59
5.3.2.3. Dominios/URL con publicidad
¿Cómo nos podemos deshacer de esas propagandas aburridas en nuestros sitios web favoritos? Examinemos
dos ejemplos: freshmeat.net y yahoo.com.
En el sitio web de freshmeat.net haga clic derecho sobre la imagen de publicidad y luego sobre "Copiar ubi-
cación de imagen" en el menú emergente (nota: la opción de su navegador puede llamarse de otra manera...).
Luego vaya a la sección Nuevo dominio de publicidad prohibido, haga clic sobre el botón del medio del ratón
(o sobre ambos botones simultáneamente si Usted posee un ratón de dos botones). Borre la última parte de la
URL y obtendrá ads.freshmeat.net. Ahora, añada este dominio a la lista.
Nuevo dominio de publicidad ads.freshmeat.net

prohibido
En el sitio web de yahoo, haga clic derecho sobre la imagen de publicidad y luego copie la ubica-
ción de la imagen como se indicó antes. Luego vaya a la sección Nueva URL de publicidad prohibida
y haga clic sobre el botón del medio del ratón (o sobre ambos botones simultáneamente si Usted po-
see un ratón de dos botones) para pegar la información. Borre la última parte de la URL y obtendrá
us.a1.yimg.com/us.yimg.com/a/pr/promo/anchor. Ahora añada esta URL a la lista. Si refresca la página
de su navegador varias veces y copia la ubicación de la imagen, obtendrá varias URL distintas:
us.a1.yimg.com/us.yimg.com/a/ya/promo/anchor
us.a1.yimg.com/us.yimg.com/a/an/promo/anchor
us.a1.yimg.com/us.yimg.com/a/ya/yahoopager/messenger
us.a1.yimg.com/us.yimg.com/a/ya/yahoo_auctions
60
y así sucesivamente...
Nueva URL prohibida us.a1.yimg.com/us.yimg.com/a/an/anchor
La publicidad correspondiente a esta URL en particular no se mostrará.

Luego aparecerán las listas para las dos categorías. Seleccione cualquier elemento de esas listas y quítelo
haciendo un clic sobre el botón "Quitar": .

5.3.2.4. Sitios prohibidos
Este formulario le ofrece tres formas de filtrar las páginas vistas desde la red local. Estos tres tipos de filtrado
dependen de la URL de dichas páginas.
Palabra clave nueva microsoft
61
Todas las URL que contengan esta palabra se bloquearán. Haga clic en Añadir esta palabra clave a la lista para
hacerlo así.
Nuevo dominio prohibido msn.com
Todas las páginas que dependan de un servidor cuyo nombre termine en este dominio se bloquearán. En
nuestro ejemplo: "http://eshop.msn.com/category.asp?catId=212" no se mostrará. Haga clic en Añadir este
dominio a la lista para hacerlo así.
Nueva URL prohibida www.XXX.com/index_ns.html
Esta URL específica no se mostrará. En nuestro ejemplo:

http://www.XXX.com/ad.html
no se descartará. Haga clic sobre Añadir esta URL a la lista para hacerlo así.
Luego se mostrarán las listas para las tres categorías. Puede seleccionar un elemento en esas listas y quitarlo
si lo selecciona y hace clic sobre el botón Quitar: .

5.3.2.5. IP privilegiadas
Este formulario le permitirá añadir o quitar IP de las máquinas privilegiadas de su red local. Dichas máquinas
estarán libres de cualquier restricción impuesta por el filtro a las demás máquinas.
62
Ingrese una dirección IP 192.168.1.111

privilegiada nueva
Ingrese la dirección IP completa de la máquina privilegiada. Luego haga clic sobre el botón Añadir: .
La IP aparecerá en la lista en la parte inferior de la página.
Para quitar los privilegios de una IP de la lista, simplemente debe seleccionarla y hacer clic sobre el botón
Quitar: .
5.3.2.6. IP prohibidas
Este formulario le permitirá añadir o quitar las IP de aquellas máquinas que no están autorizadas a utilizar el
proxy en absoluto. Esto significa que si, desde la red local, no hay otra pasarela a la Internet, los usuarios de
estas máquinas no podrán navegar por la web.
Ingrese una nueva dirección IP 192.168.1.110

prohibida
Ingrese la dirección IP completa del host prohibido. Luego haga clic sobre el botón Añadir: . Aparecerá
la IP en la lista en la parte inferior de la página.
63
Si desea quitar una IP de la lista, simplemente debe seleccionarla y hacer clic sobre el botón Quitar: .
5.3.2.7. Realizando copias de respaldo y restaurando reglas del proxy
Realizar una copia de respaldo de sus reglas del proxy es una excelente idea. También es muy conveniente
poder restaurarlas. Siga estos pasos simples para hacerlo.
• Copia de respaldo: para crear una copia de respaldo de sus reglas del proxy, simplemente haga clic sobre
el botón gris "Copia de Respaldo". Se mostrará una página nueva: haga clic mientras mantiene la tecla Shift
(Cambio) presionada sobre el vínculo Copia de respaldo del WebProxy (o haga clic derecho y elija Guardar
vínculo como) y se guardará el archivo WebProxyRulesBackup.tar.bz2 en su disco rígido.
• Restaurar: para poder restaurar sus reglas del proxy, haga clic sobre el botón "Examinar" para ubicar los
archivos adecuados (por ejemplo: WebProxyRulesBackup.tar.bz2). Luego, haga clic sobre el botón "Subir" y,
en la página siguiente, sobre el botón "Aplicar".
64
5.3.2.8. Hacer copia de respaldo de las reglas
Su operación de copia de respaldo se completó satisfactoriamente. Ahora, siga las instrucciones debajo para
guardar su archivo de copia de respaldo de las reglas del proxy.
Simplemente haga clic mientras mantiene la tecla Cambio (Shift) apretada sobre el vínculo Copia de respaldo
del WebProxy (o haga clic derecho y elija Guardar vínculo como) y se guardará el archivo WebProxyRulesBac-
kup.tar.bz2 en su disco rígido. Luego, haga clic sobre el botón "Siguiente".
Sin embargo, si desea terminar esta operación, haga clic sobre el botón "Cancelar": se lo llevará de vuelta a la
página principal de MandrakeSecurity.
5.4. DNS de cacheo
Este asistente lo ayudará a configurar el servidor DNS.
DNS es el acrónimo para Domain Name System (Sistema de Nombres de Dominio). El mismo traduce nombres
de máquina legibles para las personas en direcciones IP legibles para las máquinas y vice-versa. Este asistente
de configuración brindará un servicio local de DNS para las computadoras conectadas a su red local y todos
los pedidos no locales se reenviarán a un servidor DNS externo.
Para activar este servicio, por favor marque la casilla Habilitar y haga clic sobre el botón .
Al hacer clic sobre volverá a la página predeterminada (de inicio) cancelando este asistente.
65
5.4.1. Etapa de configuración de los DNS de reenvı́o
Aquí puede especificar los servidores DNS utilizados para reenviar los pedidos.
Servidor DNS activo

DNS de reenvío primario direcciónIP_del_DNS_primario_de_su_ISP
DNS de reenvío secundario direcciónIP_del_DNS_secundario_de_su_ISP
Debe ingresar la dirección IP del servidor DNS primario y, opcionalmente, secundario en los campos corres-
pondientes. Por lo general, Usted ingresará aquí las direcciones IP de los DNS primario y secundario de su
ISP, pero puede ser que esté utilizando otro servidor DNS para reenviar los pedidos.
Una vez que ha ingresado las direcciones IP de sus servidores DNS de reenvío, haga clic sobre el botón
.
Al hacer clic sobre se lo llevará de vuelta al paso anterior de este asistente.
Al hacer clic sobre volverá a la página predeterminada (de inicio) cancelando este asistente.
5.5. Sistema de detección de intrusiones
Esta página le permite seleccionar y activar un Sistema de detección de intrusiones (IDS) en su servidor. Los
IDS son aplicaciones de filtrado basadas en la firma de los paquetes que se utilizan para generar alarmas
cuando se producen actividades de red fuera de lo común.
66
Prelude IDS Habilitar/Deshabilitar

Snort IDS Habilitar/Deshabilitar
• Prelude IDS
Prelude es un IDS híbrido que combina "detección de intrusión en la red" y "detección de intrusión en el host".
• Snort IDS
Snort es un IDS de red de código abierto.
5.6. Activación de los servicios
Esta página lista los servicios presentes en su máquina. Se le dará la oportunidad de habilitarlos o deshabili-
tarlos.
67
Status
[...]
Gpm Running reload restart stop start Details
Httpd-naat Running reload restart stop start Details
Squid Running reload restart stop start Details
[...]
La primer columna de la tabla lista el nombre del servicio y el estado actual del mismo:
• Running (Ejecutando): El servicio está instalado y aceptando conexiones.

• Stopped (Detenido): El servicio está instalado en el cortafuegos, pero en este momento está deshabilitado.
• Unknnown (Desconocido): Por algún motivo, la interfaz no se pudo determinar el estado de ese servicio.
• Detalles--->: Haga clic sobre el botón "Detalles" al final de la fila para obtener más información.
Luego se pueden modificar los parámetros de estos servicios:
• recargar: permite volver a cargar la configuración de ese servicio sin interrumpirlo. Para utilizar justo cuan-
do se ha modificado un parámetro de dicho servicio.
• reiniciar: detiene y vuelve a iniciar el servicio.
• detener: el servicio negará las conexiones subsiguientes y terminará las corrientes.
• iniciar: el servicio aceptará las conexiones subsiguientes.
• Detalles: hace aparecer otra página con más información acerca de ese servicio en particular.
68
Capı́tulo 6. Configurando el comportamiento propiamente dicho del
cortafuegos
En este capítulo pasaremos por todas las páginas de configuración bajo la sección Reglas del cortafuegos de
la interfaz. Es aquí donde se permite o niega el tráfico entre las diferentes zonas y computadoras con las que
trata el cortafuegos.
6.1. Control principal del cortafuegos
Esta sección de la interfaz permite controlar todo el tráfico que entra y sale de la máquina cortafuegos. En
particular, permite definir los grupos diferentes de computadoras (zonas) con las que tratará su cortafuegos,
y el tráfico permitido entre dichas zonas.
En esta pantalla introductoria puede encontrar los comandos de control principales para todos esos servicios
de ruteo y filtrado. Hay cuatro acciones que se pueden llevar a cabo en todo el cortafuegos:
• start (iniciar): inicia el cortafuegos y todos los servicios asociados definidos en esta sección;
• stop (detener): detiene el cortafuegos. Se cerrarán todos los canales de comunicaciones, aislando por com-
pleto a la máquina del exterior. Eso puede ser útil cuando se da cuenta que la máquina está comprometida,
pero la interfaz de administración ya no estará disponible sino que deberá conectarse físicamente desde la
consola del cortafuegos;
• restart (reiniciar): detiene el cortafuegos (si es que está corriendo) y luego lo vuelve a iniciar;
•
69
Capítulo 6. Configurando el comportamiento propiamente dicho del cortafuegos
clear (borrar): borra por completo la configuración que realizó el

administrador en toda la sección ”Reglas del cortafuegos”. ¡Utilı́ce-
lo con cuidado! Luego vuelve a instalar y activar la configuración
predeterminada (de fábrica). Utilice ”start” o ”restart” para volver a
la configuración personalizada.
Tenga bien presentes las implicancias cuando utiliza las acciones "stop" o "clear". Cuando haya elegido la
acción deseada, haga clic sobre el botón "Siguiente" para confirmarla.
6.2. Definición de las zonas
Esta sub-sección permite definir con precisión cada uno de los grupos de computadoras (zonas) con las que
tendrá que tratar el cortafuegos. La pantalla introductoria resume la configuración corriente y permite admi-
nistrar los tres componentes del proceso de definición de zonas.
70
No olvide hacer clic sobre el botón ”Aplicar”cuando haya terminado

de configurar las zonas en esta sub-sección.
Primero debe definir los nombres de las zonas. Piense con cuidado las zonas que pueden ser necesarias con su
configuración de red corriente. Predeterminadamente se brindan tres nombres, como puede ver en la primer
tabla que resume los nombres definidos. Estos valores predeterminados permiten una configuración simple
pero segura de su red.
• LAN: Red de área local. La red interna donde se conectan las máquinas cliente internas. Por lo general, no
se permiten las conexiones desde el exterior a máquinas dentro de la red LAN.
• DMZ: Zona DesMilitarizada. Por lo general, está reservada para servidores Internet. Esta zona contendrá
computadoras dedicadas a ofrecer servicios a la Internet (la zona WAN que se define debajo). Por lo tanto
se permiten las conexiones a computadoras en esta zona.
• WAN: Red de área extensa. Por lo general, esto designa a la Internet. O, más generalmente, a una red
conectada a la Internet.
Para cada una de las zonas definidas, haga clic sobre el icono correspondiente para modificar los
nombres asociados a dicha zona o sobre para quitar definitivamente dicha zona.
Si desea definir una zona nueva, haga clic sobre el icono "Añadir Zona": .
Hay una zona especial, ”fw”, que no se lista aquı́ pero que existe
siempre. La misma se utiliza para designar la zona del cortafuegos
(”firewall”): una zona que está compuesta por una única máquina,
el servidor cortafuegos en sı́ mismo.
Luego es necesario informar al sistema acerca de cada interfaz de red configurada en su cortafuegos, y la zona
asociada a las mismas.
Aquí la tabla lista las interfaces y las zonas asociadas. Si el nombre de la zona es "-" eso significa que hay varias
zonas asociadas a esta interfaz. Esas zonas "host" especiales se definen debajo, en la tercer parte de la página.
Para cada una de las interfaces definidas, haga clic sobre el icono correspondiente para modificar la
zona o las opciones asociadas con dicha interfaz o sobre para quitar definitivamente dicha interfaz.
Si desea añadir una interfaz nueva, haga clic sobre el icono "Añadir interfaz": .
Finalmente, puede definir en la última parte de la página las zonas "host" posibles. Dichas zonas están for-
madas por un grupo de computadoras que comparten una única interfaz Ethernet del cortafuegos con otras
computadoras. Por alguna razón Usted desea separar la manera en que se trata a esas máquinas con respecto
a las otras máquinas conectadas a la misma interfaz. Las máquinas que posee una zona "host" se identifican
por su máscara de sub-red.
Por ejemplo, esto puede ser útil si su servidor Internet está conectado físicamente a su red LAN. Simplemente
debe asociar la zona DMZ a una zona "host" compuesta de una única máquina: el servidor Internet.
Para cada una de las zonas "host" definidas, haga clic sobre el icono correspondiente para modificar
la configuración de la misma o sobre para quitarla definitivamente.
Si desea añadir una zona "host" nueva, haga clic sobre el icono "Añadir host": .
71
6.2.1. Editando la identificación de una zona
Este formulario le permite añadir/modificar los nombres que identifican a las zonas. Hay tres cadenas de
caracteres que identifican a una única zona, que se usan dependiendo del lugar donde se muestren.
ID de zona (único): Este número único (ID) será utilizado en todo lugar donde sea
necesario identificar unívocamente a la zona. Se recomienda no
modificar el valor predeterminado sugerido.
Zona: Nombre corto para la zona. El nombre debería tener 5 caracteres, o
menos, de longitud y consistir de letras minúsculas o números. Debe
comenzar con una letra. Además, están reservados para uso del sistema
los nombres asignados al cortafuegos y "multi".
Mostrar nombre de zona: El nombre de la zona como se muestra en los registros.
Comentarios: Una cadena de caracteres para identificar con más precisión el rol de
esa zona, a los propósitos del mantenimiento.
Advertencia 1: No se permiten caracteres de espacio en ninguna de estas tres cadenas de caracteres. Es más
seguro limitar los caracteres utilizados a letras, números, y el guión bajo "_".
Advertencia 2: Si cambia el nombre a una zona o la quita, debería detener y luego iniciar el cortafuegos para
instalar los cambios en lugar de volver a iniciarlo en la página principal de la sección "Reglas del cortafuegos".
Ejemplo: Tiene una granja de servidores web todos ubicados en el misma sub-red. Aquí crearemos esa zona y
la configuraremos más tarde.
Zona: www
Mostrar nombre de zona: WWW
Comentarios: Granja_de_Servidores_Web
72
6.2.2. Asociando zonas a las interfaces
A cada interfaz Ethernet que importa al cortafuegos debe estar asociada al menos una zona. Es posible asociar
múltiples zonas a una única interfaz a través de las zonas "host". Este formulario también permite configurar
con precisión las opciones asociadas a la interfaz.
ID de la interfaz: Este número único (ID) será utilizado en todos los lugares donde se
necesite identificar unívocamente a la interfaz. No se recomienda
modificar el valor predeterminado propuesto.
Zona: Elija la zona que desea asociar con la interfaz en la lista desplegable. La
zona especial "-" significa que varias zonas "host" estarán asociadas con
dicha interfaz.
Interfaz: Elija la interfaz que desea configurar en la lista desplegable. Si no se
muestran las interfaces deseadas, primero debe declararlas en la
sección "Sistema".
Difusión: La dirección de difusión para la sub-red conectada a esta interfaz. Esto
se debería dejar en blanco para interfaces Punto a Punto (ppp*, ippp*);
si necesita especificar opciones para tales interfaces, ingrese "-" en esta
columna. Si pone el valor especial "detect" en esta columna, el
cortafuegos determinará automáticamente la dirección de difusión.
opciones: Nueve opciones que se pueden marcar para especializar el
comportamiento de la interfaz. Vea la tabla de abajo.
Debajo tiene detalles acerca de las opciones disponibles para las interfaces. Debe revisarlas todas con cuidado
para cada interfaz; para algunas interfaces en particular algunas de las opciones son altamente recomendables.
dhcp Se asigna una dirección IP a la interfaz por medio de DHCP o un

servidor DHCP que está corriendo en el cortafuegos la utiliza. El
cortafuegos se configurará para permitir el tráfico DHCP hacia y desde
la interfaz incluso cuando el cortafuegos esté detenido.
73
noping Esta interfaz ignorará los paquetes ICMP de pedido de eco (ping).
routestopped Cuando el cortafuegos está detenido, se aceptará el tráfico hacia y
desde esta interfaz y el ruteo ocurrirá entre esta interfaz y otras
interfaces con la opción "routestopped" activa.
norfc1918 Los paquetes que llegan a esta interfaz y tienen una dirección fuente o
destino que está reservada en RFC 1918 (Direcciones de red privadas)
se registrarán e ignorarán. Por lo general se utiliza esta opción para las
interfaces conectadas a la Internet.
routefilter Invocar a la facilidad de filtrado de ruta del núcleo sobre esta interfaz.
El núcleo rechazará cualquier paquete que ingresa por esta interfaz que
tiene una dirección fuente que sería ruteada hacia afuera a través de
otra interfaz en el cortafuegos. Advertencia: Si especifica esta opción
para una interfaz, entonces dicha interfaz debe estar activa antes de
iniciar el cortafuegos.
multi La interfaz tiene múltiples direcciones y Usted desea poder rutear entre
las mismas. Ejemplo: tiene dos direcciones en su única interfaz local
eth1, una para cada sub-red 192.168.1.0/24 y 192.168.2.0/24 y desea
rutear entre estas sub-redes. Debido a que sólo tiene una interfaz en la
zona local, normalmente el cortafuegos no creará una regla para
reenviar los paquetes de eth1 a eth1. Si añade "multi" en la entrada para
eth1 entonces el cortafuegos creará la cadena loc2loc y la regla de
reenvío apropiada.
dropunclean Los paquetes de esta interfaz que se seleccionan debido al objetivo de
coincidencia ’unclean’ en iptables se registrarán y luego ignorarán,
opcionalmente.
logunclean Esta opción funciona como la anterior con la excepción que los
paquetes que cumplen con el objetivo de coincidencia ’unclean’ en
iptables se registran pero no se ignoran.
blacklist Esta opción causa que los paquetes entrantes en esta interfaz se
verifiquen contra la lista negra. Vea la sub-sección "lista negra".
Ejemplo: Con el mismo ejemplo de la zona de servidores web, ahora indicaremos que a la zona "www" se
atribuye la sub-red conectada a la interfaz "eth3".
Zona: www
Interfaz: eth3
Difusión: detectar
74
6.2.3. Asociando zonas ”host” a interfaces
Si ha asignado una zona especial "-" a una interfaz, ahora debe definir las zonas "host" para dicha interfaz.
Una zona host" es meramente un grupo de máquinas identificadas por su sub-red común. Se puede reducir a
una única máquina.
ID del host: Este número único (ID) se utilizará en todos los lugares donde sea
necesario identificar unívocamente a esta zona host.
Zona: Elija el nombre de la zona a utilizar para esta zona host en la lista
desplegable.
Interfaz: Elija la interfaz asociada a esta zona host en la lista desplegable. Elija
"+" si no desea asociar una interfaz en particular a la dirección de la
zona o sub-red. Nota: el uso de "+" debilita levemente al cortafuegos e
incrementa levemente la latencia de los paquetes.
Dirección IP: La dirección del host o sub-red para las máquinas asociadas a esta zona
host. Ejemplo: "192.168.2.0/2".
opciones: La opción "routestopped", si está marcada, tiene el efecto siguiente:
Cuando se detiene el cortafuegos, el tráfico hacia y desde este host (o
estos hosts) se aceptará y ocurrirá el ruteo entre este host y otras
interfaces y hosts con la opción "routestopped".
Ejemplo: desea que algunas máquinas precisas en la red local puedan administrar el cortafuegos, incluso si
el cortafuegos está detenido. Luego de haber configurado la interfaz local "eth2" como asignada a la zona
especial "-" con la opción "multi", debe configurar la zona host especial "adm" que sólo se corresponde con
algunas máquinas de la sub-red local.
Zona: adm
Interfaz: eth2
Dirección IP: 192.168.1.0/25
opciones: routestopped
75
6.3. Configuración del enmascarado, NAT estática y Proxy ARP
Esta sub-sección propone servicios para facilitar las comunicaciones entre la Internet y las máquinas internas,
ya sean clientes o servidores.
Advertencia: antes de salir de la misma, no olvide hacer clic sobre el botón "Aplicar" cuando ha finalizado de
configurar los servicios necesarios de esta sub-sección.
La parte "Enmascarado clásico" maneja las reglas que permiten que los clientes internos accedan a la Internet.
Para cada una de las reglas definidas (si existe alguna), haga clic sobre el icono para modificar la regla
o sobre el icono para quitar definitivamente ese enmascarado.
Si desea definir un enmascarado nuevo, haga clic sobre el icono (Añadir enmascarado).
La parte "NAT estática" maneja las reglas para la Traducción de la dirección de red. Esto permite que los
servidores internos (generalmente en la DMZ) aparezcan como que son parte de la Internet para los clientes
externos.
76
Para cada una de las reglas definidas (si existe alguna), haga clic sobre el icono correspondiente para
modificar la regla, o sobre el icono para quitar dicha NAT definitivamente.
Si desea añadir una regla NAT nueva, haga clic sobre el icono (Añadir NAT).
Finalmente, en la última parte de la página, las reglas "Proxy ARP".
6.3.1. Enmascarado de IP clásico
Para permitir que los clientes de su red interna accedan a la Internet, debe enmascarar esta red con respecto a
la Internet, ya que está basada en direcciones privadas que no son válidas en la Internet.
ID: El número único (ID) que identifica a esta regla clásica de enmascarado
de IP.
Red enmascarada: La sub-red que desea que enmascare la interfaz de abajo. La misma se
puede expresar como una única dirección IP, una sub-red o el nombre
de una interfaz. Opcionalmente, la sub-red puede contener un "!" al
final y una lista separada por comas de las direcciones y/o sub-redes
que se deben excluir del enmascarado.
A través de la interfaz: La interfaz que enmascarará a la sub-red; normalmente es su interfaz
conectada a la Internet.
Red/Host opcional: Opcionalmente puede especializar la regla añadiendo una sub-red o IP
de un host. Cuando se añade esta calificación, sólo se enmascararán los
paquetes dirigidos a ese host o sub-red.
Dirección fuente (SNAT) La dirección fuente a utilizar para los paquetes salientes. Esta columna
opcional: es opcional y si se deja en blanco se utiliza la dirección IP primaria de la
interfaz.
Ejemplo 1: Tiene una cantidad de túneles IPSEC a través de ipsec0 y desea enmascarar el tráfico de su sub-red
192.168.9.0/24 sólo a la sub-red remota 10.1.0.0/16.
Red enmascarada: 192.168.9.0/24

A través de la interfaz: ipsec0
Red/Host opcional: 10.1.0.0/16
Dirección fuente (SNAT):
77
Ejemplo 2: Tiene una línea DSL conectada a eth0 y una red local (192.168.0.0/24) conectada a eth1. De-
sea que todas las conexiones local->red utilicen la dirección fuente 206.124.146.176. Es más, desea excluir a
192.168.10.44 y 192.168.10.45 de la regla SNAT.
Red enmascarada: 192.168.10.0/24!192.168.10.44,192.168.10.45

A través de la interfaz: eth0
Host/Red opcional:
Dirección fuente (SNAT): 206.124.146.176
6.3.2. Traducción de dirección de red estática
NAT estática es una manera de hacer que los sistemas detrás de un cortafuegos configurados con una IP
privada (aquellas reservadas para uso privado según RFC 1819) parezcan tener direcciones IP públicas. Para
permitir el acceso a la Internet a los clientes de su red interna, debe enmascarar esta red con respecto a la
Internet, ya que está basada en direcciones privadas que no son válidas en la Internet.
IMPORTANTE: Si todo lo que desea es reenviar puertos a servidores detrás de su cortafuegos, NO desea
usar NAT estática. El reenvío de puertos también se puede lograr con entradas simples en la sub-sección
"reglas". También, en la mayoría de los casos Proxy ARP brinda una solución superior a NAT estática ya que
los sistemas internos se acceden utilizando la misma dirección IP internamente y externamente.
ID: El número único (ID) que identifica a esta regla NAT estática.
IP externa pública: Dirección IP externa para la traducción - Esta NO debería ser la
dirección IP primaria de la interfaz que se nombra en el campo
siguiente.
Sobre la interfaz de red: Interfaz sobra la cual desea que aparezca la "IP externa pública".
IP interna privada (RFC 1918): Dirección IP interna para la traducción. Debe ser una dirección IP
privada según lo define la RFC 1918.
Están disponibles dos opciones para la traducción:
78
Todos los hosts Si se activa, esta NAT será efectiva desde todos los hosts. Si no,
entonces NAT sólo será efectiva a través de la interfaz que se nombra
en el campo "Sobre esta interfaz de red".
Sistema cortafuegos Si se activa, NAT será efectiva también desde el sistema cortafuegos en
sí mismo.
Ejemplo: Deseamos hacer que el sistema interno con la IP 10.1.1.2 aparezca estar en la sub-red 130.252.100.* de
la Internet. Si asumimos que la interfaz conectada a la Internet es eth0, entonces la regla siguiente haría que el
sistema con IP 10.1.1.2 parezca tener 130.252.100.18 como dirección IP.
IP externa pública: 130.252.100.18

Sobre esta interfaz de red: eth0
IP interna privada: 10.1.1.2
Todos los hosts Sí
Sistema cortafuegos Sí
Nota 1: La opción "Todos los hosts" se utiliza para especificar que el acceso a la IP externa desde todas las
interfaces del cortafuegos debería pasar por NAT. Si se configura en "No", sólo el acceso desde la interfaz en
el campo indicado debería pasar por NAT.
Nota 2: Activar la opción "Sistema cortafuegos" hace que el paquete que se origina en el cortafuegos propia-
mente dicho y que esté destinado a la dirección "externa" sea redireccionado a la "IP interna privada".
6.3.3. Reglas del Proxy ARP
Este formulario se utiliza para definir las reglas del Proxy ARP (Address Resolution Protocol - Protocolo de
resolución de direcciones). Necesita una regla para cada sistema que pasará por el Proxy ARP.
ID: El número único (ID) que identifica esta regla del Proxy ARP.
Dirección IP del servidor: Dirección del sistema objetivo.
Interfaz interna: La interfaz que conecta al sistema. Si la interfaz es obvia a partir de la
sub-red, puede elegir "-".
Interfaz externa: La interfaz externa que Usted desea que honre pedidos ARP para la
"Dirección IP del servidor" especificada arriba.
79
Ya tiene una ruta a la IP del Si ya tiene una ruta a través de la "Interfaz interna" a la "Dirección IP
servidor: del servidor", marque esta opción. Si desea que el cortafuegos
propiamente dicho añada la ruta, debe asegurarse que esta opción no
está marcada.
Ejemplo: tiene una dirección IP pública 155.182.235.0/28. Usted configura su cortafuegos como sigue:
eth0 - 155.186.235.1 (conexión con la Internet)
eth1 - 192.168.9.0/24 (sistemas locales enmascarados)
eth2 - 192.168.10.1 (interfaz conectada con su DMZ)
En su DMZ, usted desea instalar un servidor web/FTP con dirección pública 155.186.235.4. En el servidor web,
hace la sub-red igual que eth0 en el cortafuegos y configura a 155.186.235.1 como la pasarela predeterminada:
Dirección IP del servidor: 155.186.235.4

Interfaz interna: eth2
Interfaz externa: eth0
Ya tiene una ruta a la IP del No
servidor:
Nota: Puede desear configurar a los servidores en su DMZ con una sub-red que es más pequeña que la sub-red
de su interfaz conectada con la Internet. En este caso tendrá que poner "Sí" en la columna HAVEROUTE (ya
tiene una ruta).
80
6.4. Configuración de las polı́ticas predeterminadas
Esta sub-sección se utiliza para describir la política del cortafuegos con respecto al establecimiento de co-
nexiones. El establecimiento de conexiones se describe en términos de clientes que inician las conexiones y
servidores que reciben dichos pedidos de conexión. Las políticas definidas aquí son las políticas predetermi-
nadas. Si no aplica regla alguna de la sub-sección "Reglas" a un pedido de conexión en particular, entonces se
aplica la política predeterminada definida aquí.
La tabla resume todas las políticas predeterminadas configuradas en este momento. Las configuraciones de
fábrica hacen que, predeterminadamente, todas las políticas sean "REJECT" (RECHAZAR), de forma tal que
sólo se permiten las conexiones que se explicitan en la sub-sección "Reglas".
Atención: El orden es importante: el cortafuegos procesa las reglas de las políticas de arriba hacia abajo y
utiliza la primer política aplicable que encuentra. Por ejemplo, en el archivo de políticas siguiente, la política
para las conexiones (loc, loc) sería ACCEPT (ACEPTAR) como lo especifica la primer entrada incluso cuando
la tercer entrada en el archivo especifica REJECT (RECHAZAR).
Si hay muchas reglas, puede filtrarlas por zona cliente y servidor. Elija las zonas "cliente" y "servidor" deseadas
entre las que están disponibles en las listas desplegables y haga clic sobre el icono . La zona especial
"*" es simplemente un comodín que se corresponde con todas las zonas.
Recordatorio: La zona "fw" designa al cortafuegos en sí mismo.
Para cada una de las políticas definidas, haga clic sobre el icono correspondiente para modificar dicha
81
política o sobre para quitarla definitivamente. Para añadir una política nueva, haga clic sobre el icono
6.4.1. Definir una polı́tica predeterminada
Está a punto de definir aquí la política predeterminada para los pedidos de conexión entre una zona cliente y
una servidor.
Para que se active esta política, la conexión se debe originar desde una máquina en la "Zona cliente" y estar
dirigida a una máquina que pertenezca a la "Zona servidor". Luego se tomará la acción que dicta la "Política
predeterminada" para dicha conexión. Opcionalmente, si se ha activado esta política, la misma generará una
entrada en el registro con nivel "Registro".
ID de política El número único (ID) que identifica esta regla de política.

Zona cliente La zona desde la cual debe originar la conexión para que se active la
política.
Zona servidor La zona a la cual está dirigida la conexión.
Política predeterminada La acción que se tomará si se activa realmente la política. Vea la tabla
debajo para detalles sobre las acciones posibles.
Nivel de registro Si se configura en "-", no se genera mensaje de registro cuando se aplica
la política. En caso contrario se genera un mensaje de syslog con el
nivel indicado cuando se aplica la política. Vea la página man de
syslog.conf para una descripción de cada nivel de registro.
Aquí tiene una pequeña descripción de las cuatro políticas posibles:
ACCEPT ACEPTAR. Se permite la conexión.

DROP TIRAR. Se ignora el pedido de conexión.
REJECT RECHAZAR. Se bloquea el pedido de conexión y se envía un mensaje
"destination-unreachable" (no se puede alcanzar el destino) de vuelta al
cliente.
CONTINUE CONTINUAR. La conexión no se acepta, ni se tira, ni se rechaza. Esto
se puede utilizar cuando una o ambas zonas nombradas en la entrada
son sub-zonas de, o se intersecan con, otra zona.
82
Ejemplo: Usted confía en las personas que están en su red local "lan" y no desea restringirles el acceso a servicio
alguno en la web (zona "wan"). No desea registrar la actividad de los mismos.
Zona cliente loc

Zona servidor wan
Política predeterminada ACCEPT
Nivel de registro -
6.5. Configuración de las reglas del cortafuegos
Aquí estamos en el núcleo mismo del cortafuegos. La sub-sección "Reglas" definen las excepciones a las polí-
ticas establecidas en "Políticas predeterminadas". Hay una entrada en la tabla para cada una de estas reglas.
83
La tabla resume todas las reglas configuradas en este momento. Predeterminadamente, MandrakeSecurity
define reglas estándar para las zonas predeterminadas (LAN, WAN, DMZ). Debido a que la política predeter-
minada es "TIRAR" (ignorar) cualquier conexión, las reglas predeterminadas permiten precisar algunas:
• Las computadoras de la LAN pueden conectar con la Internet (WAN) para navegar por la web, servicios de
correo, FTP, y conexiones SSH;
• Las computadoras de la LAN se puede conectar al servidor SSH del cortafuegos o la interfaz web Mandra-
keSecurity;
• Se aceptan todos los pedidos de DNS (Servicio de Nombres de Dominio) dirigidos a la Internet;
• Se permiten los ecos "ping" entre las zonas internas.
Si hay muchas reglas, las puede filtrar. Elija las zonas "Cliente" y "Servidor" deseadas así como también un
"Puerto" en las listas desplegables y haga clic sobre el icono . La zona o puerto especial "*" es simple-
mente un comodín que coincide con todas las posibilidades.
Recuerde: la zona "fw" designa al cortafuegos en sí mismo.
Para cada regla definida en la tabla haga clic sobre el icono correspondiente para modificar dicha
regla o sobre para quitarla definitivamente.

Si desea añadir una regla nueva, en realidad puede hacerlo de dos maneras: haga clic sobre el icono "Añadir
host" correspondiente:
Añadir regla simple Aquí se le presentará el formulario de regla simple, permitiendo definir
una regla "ACCEPT" especificando sólo la fuente, destino y protocolo.
Añadir regla personalizada El formulario que se muestra aquí permite la definición de reglas más
complejas, con todos los tipos de acciones disponibles, y algunas
opciones tales como registro, reenvío y SNAT.
6.5.1. Definiendo una regla simple del cortafuegos: ”ACCEPT”
84
Aquí está a punto de definir una regla nueva para autorizar una conexión específica entre dos zonas diferentes.
Siempre que una conexión coincida con el criterio definido aquí, se permitirá la misma.
ID de la regla El número único (ID) que identifica esta regla de política.

Servicios predefinidos Elija un servicio común en la lista desplegable, o ingrese un nombre o
el número de un servicio en el campo.
Protocolo El tipo de protocolo asociado a dicho servicio.
Proveniente de La zona desde la cual se origina el pedido de conexión.
y dirigido a La zona hacia la cual se dirige el pedido de conexión, seguida
opcionalmente de una dirección IP o de una sub-red. Deje "-" en el
campo para toda la zona.
Reenviar Cuando está marcada esta opción, se modifica el comportamiento de la
regla. Se capturarán todos los pedidos desde la fuente especificada,
cualquiera sea el sistema destino. Luego, se reenviará este pedido a la
IP "y dirigido a". En este caso el campo "y dirigido a" debe contener una
dirección IP específica.
Ejemplo: Usted desea reenviar todos los pedidos de conexión por SSH desde la Internet al sistema local
192.168.1.3.
Servicios predefinidos Conexión remota segura [ssh]

Protocolo tcp
Proveniente de wan
y dirigido a lan | 192.168.1.3
Reenvío [marcado]
6.5.2. Definiendo una regla compleja del cortafuegos
85
Está a punto de definir una regla nueva para manejar una conexión específica entre dos zonas diferentes. Si el
pedido coincide con los diferentes criterios definidos aquí, se tomará la acción "Resultado".
Aquí tiene una descripción de los diferentes campos disponibles en el formulario, debe completarlos de acuer-
do al criterio que desea que coincida para activar esta regla. También están disponibles algunas opciones para
manejar estas conexiones:
ID de la regla El número único (ID) que identifica a esta regla de política.

Resultado La acción tomada para el pedido de conexión que coincide con esta
regla. Vea la tabla debajo.
Registro Configurado en "info" si desea que cada una de estas conexiones quede
registrada en el registro del sistema cuando se acepten.
Servicios predefinidos Elija un servicio común en la lista desplegable, o ingrese un nombre o
número de servicio en el campo.
Protocolo El tipo de protocolo asociado a ese servicio.
Cliente La zona desde la cual proviene el pedido de conexión. Se pueden
reducir las coincidencias especificando una IP o sub-red precisas, o
incluso un número de puerto. Deje "-" en el campo para hacer coincidir
con cualquier IP o puerto.
Servidor La zona hacia la cual está dirigida el pedido de conexión. Se pueden
reducir las coincidencias especificando una IP o sub-red precisas, o
incluso un número de puerto. Deje "-" en el campo para hacer coincidir
con cualquier IP o puerto.
Dirección de reenvío Si el pedido está dirigido a la IP especificada aquí (o está configurado
en "all" - todos), será reenviado a la IP y puerto "Servidor". En este caso,
el campo "Servidor" debe contener una dirección IP específica.
SNAT Si se especifica, y el reenvío está activo arriba, entonces la dirección
fuente del pedido será configurada a este valor "SNAT" antes del
reenvío al servidor.
Aquí tiene una descripción corta de las cuatro acciones posibles:
ACCEPT (ACEPTAR) Se permite la conexión.

DROP (TIRAR) Se ignora el pedido de conexión.
REJECT (RECHAZAR) Se bloquea el pedido de conexión y se envía un mensaje de "destino
inalcanzable" al cliente.
CONTINUE (CONTINUAR) La conexión no se acepta, ni se ignora, ni se rechaza. Esto se puede
utilizar cuando una o ambas zonas nombradas en la entrada son
sub-zonas de, o se intersecan con, otra zona.
Ejemplo: desea que el servidor FTP con dirección 192.168.2.2 en su DMZ enmascarada se pueda acceder desde
la sub-red local 192.168.1.0/24. Note que debido a que el servidor está en la sub-red 192.168.2.0/24, podemos
asumir que el acceso al servidor desde dicha sub-red no involucrará al cortafuegos.
Resultado ACCEPT
Registro
Servicios predefinidos ftp
Protocolo tcp
Cliente loc | 192.168.1.0/24
Servidor dmz | 192.168.2.2
Dirección de reenvío 155.186.235.151
86
SNAT
6.6. Manteniendo la Lista Negra
Esta página lista las máquinas (hosts) o sub-redes para las cuales los pedidos de conexión se negarán sistemáti-
camente, incluso si la regla explícita permite la conexión en condiciones normales. Note que para que esta lista
sea efectiva, la(s) interfaz(ces) en la(s) que se conecta(n) dichas IP deben tener activa la opción "lista_negra" en
la sub-sección "Configuración de Zonas".
• Para añadir una IP/sub-red nueva a la lista negra, debe ingresarla en el campo "Añadir IP/Sub-red del host"
y hacer clic sobre el icono "Añadir Entrada" . La dirección nueva aparecerá en la lista.
• Para quitar une IP/sub-red de la lista negra, debe seleccionarla en la lista y hacer clic sobre el icono "Quitar
entrada" .
87
6.7. Configuración de las reglas de Tipo de servicio
Esta página lista y permite manejar las reglas de TOS (Tipo de Servicio) del cortafuegos. Las reglas TOS or-
denan al cortafuegos modificar los encabezados de los paquetes añadiendo un valor TOS. Este valor brinda
información adicional, notablemente a los routers, de forma tal que se da un tratamiento óptimo a los paquetes
de acuerdo al uso de los mismos.
La tabla resume todas las reglas TOS configuradas actualmente.

Si hay muchas reglas, las puede filtrar. Elija las zonas "Cliente" y "Servidor" deseadas así como también un
"Puerto" en las listas desplegables y haga clic sobre el icono . La zona o puerto especial "*" es simple-
mente un comodín que coincide con todas las posibilidades.
Recuerde: la zona "fw" designa al cortafuegos en sí mismo.
Para cada una de las reglas definidas en la tabla, haga clic sobre el icono correspondiente para modi-
ficar dicha regla o sobre para quitarla definitivamente.
Si desea añadir una regla nueva, haga clic sobre el icono "Añadir regla TOS" .
88
6.7.1. Editando las reglas TOS
Este formulario define las reglas TOS (Type Of Service - Tipo de servicio), que añaden un valor TOS a hacer
coincidir en los encabezados de los paquetes.
Siempre que un paquete que está pasando a través del cortafuegos coincida con el criterio definido aquí, se
añadirá el valor TOS correspondiente.
ID de la regla El número único (ID) que identifica a esta regla TOS.

TOS Elija el tipo de tratamiento que mejor se ajustará al tipo de paquetes
que coincidan con esta regla.
Cliente La zona desde la cual proviene el paquete. La coincidencia se puede
restringir especificando: una IP, interfaz o sub-red precisas en el campo
del medio; o incluso un número de puerto en el campo de la derecha.
Deje "-" en un campo para hacer coincidir con cualquier IP o puerto.
Servidor La zona hacia la cual se dirige el paquete. La coincidencia se puede
restringir especificando: una IP, interfaz o sub-red precisas en el campo
del medio; o incluso un número de puerto en el campo de la derecha.
Deje "-" en un campo para hacer coincidir con cualquier IP o puerto.
Protocolo El tipo de protocolo asociado a ese servicio.
Ejemplo: Desea que los paquetes de datos FTP se manejen de forma tal de maximizar la velocidad de transfe-
rencia, sin importar la confiabilidad y demora, en todas las direcciones.
TOS Maximizar-Transferencia (8)

Cliente todos
Servidor todos
Protocolo ftp-data
89
90
Capı́tulo 7. Configuración de VPN
Este capítulo explica qué es una VPN y cómo configurar una VPN utilizando MandrakeSecurity para actuar
tanto como el lado servidor como el cliente en una VPN.
7.1. ¿Qué es una VPN?

VPN es el acrónimo de Virtual Private Networking (Red Privada Virtual) y es una forma de establecer redes
privadas sobre redes públicas, como la Internet, de manera segura. Vea Figura 7-1.
Figura 7-1. Esquema de conexión VPN
VPN utiliza “túneles” para crear una red privada que atraviesa la Internet pública. Un túnel se puede pensar
como el proceso de encapsular un paquete dentro de otro y enviarlo a través de la red (la Internet en el caso
de la VPN) MandrakeSecurity usa IPSec1 como protocolo para el manejo de los túneles.
La “red de confianza” entre las máquinas privadas a través de la Internet pública se construye por medio de
los Certificados y una Autoridad Certificante (CA del inglés Certificate Authority) La CA es una entidad en la
que confían los participantes de una VPN. Los certificados que crea su sistema MandrakeSecurity adhieren
a los estándares de la industria pero no estarán garantizados por una CA tercera parte, como VeriSign por
ejemplo. Por supuesto, Usted también puede utilizar sus propios certificados aprobados por CAs públicas con
su sistema MandrakeSecurity .
7.2. ¿Por qué una VPN?

Configurar una VPN tiene muchas ventajas entre las que se encuentran las siguientes:
• Posibilidad de conectar entre sí redes privadas distribuidas geográficamente. Este es el motivo mismo que
dio origen al desarrollo de las VPN. Piense en conectar entre sí sucursales diferentes de su empresa sin
importar el lugar del mundo en el que se encuentren.
• Comunicaciones seguras. Debido a que todo el tráfico en la VPN está cifrado, puede estar tranquilo que sus
datos permanecen seguros mientras viajan por la red.
• Reducción de costos. Al utilizar una red mundial ya establecida (la Internet) todo lo que Usted necesita
para conectar entre sí sus redes privadas dispersas ya está en su lugar. No es necesario pagar canales de
comunicación dedicados (muy) onerosos. Es más que suficiente utilizar uno o dos vínculos de alta velocidad
con la Internet, como por ejemplo conexiones DSL.
1. También se soporta IPIP.
91
Capítulo 7. Configuración de VPN
En realidad, también se pueden configurar VPN utilizando cone-

xiones con módems analógicos, pero por lo general se prefiere un
tipo de conexión permanente (como el que brindan DSL o cable-
módem) Esto dependerá de la forma en la cual Usted utiliza a la
VPN.
Por supuesto, también hay algunas (pocas) contras:
• Usted no administra toda la red. Debido a que las redes públicas son una parte inherente de una red VPN,
Usted no tiene control alguno sobre la parte “pública” de la red.
Sin embargo, esto también es uno de los mayores beneficios de la VPN: administración reducida de la red
y costos menores. Además, la parte pública de la red es la Internet y esta última está bien administrada por
personas capacitadas y con recursos suficientes para asegurar la calidad de servicio necesaria.
• Punto único de falla. Por lo general, sólo hay un servidor VPN por lo que, si esa máquina falla, la red se
cae. Sin embargo, este riesgo se puede disminuir utilizando máquinas tolerantes a las fallas. Como siempre,
todo esto depende de cuan críticas son sus operaciones.
7.3. Configurando un Servidor VPN

Las secciones siguientes detallarán la configuración de un servidor VPN sobre un sistema MandrakeSecurity .
Se asume que el sistema MandrakeSecurity tiene una conexión permanente con la Internet con una dirección
IP fija y una red LAN detrás del mismo con la subred 192.168.0/24. Además, el sistema MandrakeSecurity
actuará como la CA para la VPN.
Los pasos de configuración se presentarán en un orden lógico. Es altamente recomendable que los siga en
dicho orden. Sin embargo, si Usted sabe lo que está haciendo, puede realizar algunos de los pasos como lo
desee.
7.3.1. Hacer una copia de respaldo de la configuración corriente de MandrakeSecurity

Debido a que la configuración de una VPN involucra cambios a las políticas y reglas del cortafuegos, es una
buena idea realizar una copia de respaldo de la configuración utilizando la función de Respaldo / Restauración
provista en la sección Herramientas. Por favor, consulte Herramientas de administración, página 129 para más
información.
92
7.3.2. Crear una zona VPN

Vaya a la subsección Configuración de Zonas de la sección Reglas del Cortafuegos y haga clic sobre el vínculo
Añadir zona. En la figura siguiente se muestran valores de ejemplo para los campos:
Figura 7-2. Añadiendo una zona VPN
Por favor, consulte Configurando el comportamiento propiamente dicho del cortafuegos, página 69 para más infor-
mación acerca del significado de los diferentes campos.
El caracter espacio está prohibido para cualquiera de estas cadenas

de caracteres. Es más seguro limitar los caracteres utilizados a las
letras, números, y el caracter del guión bajo (_)
Luego presione el botón Siguiente para añadir la zona nueva que identifica a la VPN propiamente dicha. Una
vez que vea la zona listada en la página Configuración de Zonas, presione el botón Aplicar para que sus cambios
tengan efecto.
93
7.3.3. Añadir la interfaz de red VPN

Vaya a la subsección Configuración de Zonas de la sección Reglas del Cortafuegos y haga clic sobre el vínculo
Añadir interfaz. En la figura siguiente se muestran valores de ejemplo para los campos:
Figura 7-3. Añadiendo una interfaz de red ipsec
Luego presione el botón Siguiente para añadir la interfaz IPSec para la VPN. Una vez que ve la interfaz listada
en la página Configuración de Zonas, presione el botón Aplicar para que sus cambios tengan efecto.
Las interfaces ipsecN son interfaces lógicas asociadas a una interfaz

fı́sica, como por ejemplo eth0. Se puede asociar más de una VPN
con la misma interfaz ipsecN y añadir zonas VPN diferentes para
configurar polı́ticas por zona, si Usted lo necesita.
7.3.4. Añadir polı́ticas predeterminadas del cortafuegos para el tráfico VPN

Ahora debe añadir políticas predeterminadas del cortafuegos para manejar el tráfico VPN. Para esto, vaya a la
subsección Políticas predeterminadas de la sección Reglas del Cortafuegos y haga clic sobre el vínculo Añadir
política. En la figura siguiente se muestra la política para el tráfico entrante desde cualquier zona y dirigido a
94
la VPN (all->vpn):
Figura 7-4. Añadiendo políticas predeterminadas para la VPN
También debe añadir una política similar para el tráfico entrante desde la VPN y dirigido a las otras zonas
(vpn->all) para configurar un vínculo de comunicación bidireccional.
Luego presione el botón Siguiente para añadir la política del cortafuegos para la VPN. Una vez que ha añadido
las dos políticas predeterminadas y las ve listadas en la página Configuración de las políticas predeterminadas,
presione el botón Aplicar para que sus cambios tengan efecto.
Esta configuración permitirá todo y cualquier tipo de tráfico VPN.

Está bien dejarlo ası́ para la configuración y pruebas iniciales de la
VPN, pero una vez que Usted está seguro que la VPN está estableci-
da y funcionando, deberı́a cambiar ambas polı́ticas predeterminadas
definidas arriba al comportamiento RECHAZAR y añadir reglas para
los tipos especı́ficos de tráfico que desea permitir sobre la VPN.
Por favor, consulte Probando la VPN y haciéndola más segura, pá-
gina 100 para un ejemplo de cómo configurar reglas para permitir
el tráfico HTTP.
7.3.5. Añadir el túnel VPN en el cortafuegos

Es momento de añadir el “túnel” VPN en el cortafuegos, que permite el tráfico en el puerto 500/udp. Vaya a la
subsección Túneles de la sección Reglas del Cortafuegos y haga clic sobre el vínculo Añadir Túnel. En la figura
95
siguiente se muestran valores para el túnel:
Figura 7-5. Añadiendo un túnel en el cortafuegos
• ID (único). El identificador único para este túnel. Es altamente recomendable no realizar cambios a este
valor.
• Tipo. El tipo de túnel. ipsec para un túnel IPSec (la configuración predeterminada y recomendada); ipip
para un túnel IPIP.
• Zona. La zona desde/hacia la cual fluirá el tráfico VPN utilizando este túnel. Para el tipo de VPN que
estamos configurando aquí, esto se debe poner en wan (la zona de la Internet)
• IP de la pasarela. La dirección IP de la máquina pasarela “remota”. En nuestro ejemplo, configuramos esto
en 0.0.0.0/0, lo cual significa que se permitirá el tráfico VPN desde cualquier lugar de la Internet.
Se puede pensar que configurar esto en 0.0.0.0/0 es un riesgo

de seguridad, y de hecho no es muy seguro. Sin embargo, es la
única configuración posible para las máquinas con tipos de conexión
con la Internet no permanentes (como los módems analógicos) y
máquinas sin dirección IP fija (casi todas las conexiones DSL y de
cable-módem)
• Zona de la pasarela (opcional). Configurado en vpn debido a que será la VPN quien oficie de “pasarela”
entre ambas redes privadas.
Luego presione el botón Siguiente para añadir el túnel del cortafuegos para la VPN. Una vez que lo vea listado
en la página Túneles, presione el botón Aplicar para que sus cambios tengan efecto.
7.3.6. Generar los certificados de la CA

Todas las partes involucradas en una VPN necesitan un certificado como “prueba” de su identidad (autenti-
cación) y a los propósitos del cifrado.
Lo siguiente sólo es necesario si su MandrakeSecurity va a ser

la Autoridad Certificante (CA) de su VPN. Si este no es su caso,
puede ignorar este paso sin problemas.
96
Es obligatorio crear primero la Clave para la CA.
7.3.6.1. Clave CA
Vaya a la subsección CA de la sección VPN, haga clic sobre el vínculo Clave CA y presione el botón Siguiente.
En la figura siguiente se muestran valores de ejemplo para los campos:
Figura 7-6. Configurando la CA
El caracter espacio está prohibido para cualquiera de estas cadenas

de caracteres. Es más seguro limitar los caracteres utilizados a las
letras, números, y el caracter del guión bajo (_)
A continuación una explicación breve de algunos de los campos (los otros se explican por sí solos):
• Nombre común. Este se debe configurar como el FQDN (Fully Qualified Domain Name, Nombre de dominio
completamente calificado) de su máquina MandrakeSecurity .
• Días. El tiempo de expiración, en días, de este certificado. En el ejemplo está puesto en 10 años.
• Días Crl. Cuántos días deben transcurrir hasta que la Lista de Certificados Revocados (CRL) se considera
obsoleta.
• Bits. Cuántos bits se deben utilizar para la generación de las claves. Normalmente se pone en 1024 o 2048.
No utilice valores inferiores a 1024 para este campo.
• País. El código ISO de dos letras del país en el que se encuentra su sistema MandrakeSecurity .
• Dirección de correo electrónico. La dirección de correo electrónico del administrador del sistema Mandra-
keSecurity . Normalmente, esto se configura como admin@fqdn_del_host_mandrakesecurity.ext.
97
Una vez que está satisfecho con sus ajustes, presione el botón Siguiente y luego haga clic sobre el vínculo
Generar un Certificado Autofirmado para generar al certificado para la CA.
7.3.6.2. Otras Claves

Vaya a la subsección CA de la sección VPN y haga clic sobre el vínculo Otras Claves y luego sobre el vínculo
Añadir entradas VPN. Verá el mismo diálogo que en la página de la Clave CA.
Es obligatorio que la primer entrada que añada sea la del servidor VPN, en nuestro ejemplo su sistema Man-
drakeSecurity . Ahora ingrese los mismos valores que ingresó para la Clave CA y haga clic sobre el botón
Siguiente.
Cuando esto esté hecho, debe agregar las entradas para los puntos remotos. Una vez que añadió todas las
entradas y las ve listadas en la página Configuración de Otra Lista de la CA VPN, presione el botón Aplicar
para que sus cambios tengan efecto.
7.3.7. Añadir un Servidor VPN

La figura siguiente muestra la VPN que estamos discutiendo, incluyendo detalles sobre la IP y las máscaras
de las redes privadas y el significado de los lados “izquierdo” y “derecho” necesarios para la configuración a
realizar en este paso:
Figura 7-7. Disposición de la VPN
Entonces, su servidor MandrakeSecurity (Servidor MNF A) está sobre el “lado izquierdo” y todos los demás
servidores/clientes están sobre el “lado derecho” de la VPN. Esta es una convención que se debe establecer de
antemano y se deben configurar ambas partes (izquierda y derecha) para que la configuración esté completa.
Vaya a la subsección Servidor de la sección VPN y haga clic sobre el vínculo Añadir un Servidor VPN. En la
figura siguiente se muestran valores típicos para los campos:
98
Figura 7-8. Añadiendo un lado del Servidor VPN
El servidor VPN debe ser la primer entrada.
• Id del Servidor VPN. Identificador único numérico. Es seguro (y se recomienda) no realizar modificaciones
a este valor.
• Lado. Configurado en Izquierda para su sistema MandrakeSecurity y en Derecha para el sistema remoto.
• Nombre común. Esto debe configurarse con el FQDN de su máquina MandrakeSecurity para el lado iz-
quierdo y con el FQDN de la máquina remota para el lado derecho.
• IP. La dirección IP de la interfaz Internet de su máquina MandrakeSecurity para el lado izquierdo y la
dirección IP de la máquina remota para el lado derecho.
• Sub-red/máscara. La IP y máscara de la red para el lado (izquierdo o derecho) correspondiente. En nues-
tro ejemplo, la configuramos en 192.168.0.0/24 para el lado izquierdo y en 172.16.1.0/24 para el lado
derecho.
• Próximo salto. La dirección IP de la pasarela del sistema. Esto dependerá de la dirección IP de la má-
quina que está configurando, pero por lo general es igual que la IP del host pero con 1 como último nú-
mero. Por ejemplo, si la IP de su host es 123.234.123.200, entonces debería configurar este valor como
123.234.123.1.
• Autenticación. x509 es el único tipo de certificado soportado.
Una vez que añadió tanto el lado izquierdo como el derecho, haga clic sobre el botón Aplicar y luego sobre el
vínculo Reiniciar IPSec para que sus cambios tengan efecto.
¡Felicidades! Ya está configurado el servidor VPN.
7.3.8. Distribución de los certificados y las claves
Lo siguiente sólo es necesario si su MandrakeSecurity va a ser

la Autoridad Certificante (CA) de su VPN. Si este no es su caso,
puede ignorar este paso sin problemas.
99
Ahora tiene que distribuir todos los certificados y claves necesarias a las partes interesadas. Esta distribución
debe realizarse de manera segura debido a que la seguridad de toda la VPN depende de dichos certificados y
claves. Puede enviar por correo electrónico los archivos necesarios usando cifrado (ej.: con OpenPGP ), reunirse
personalmente con las partes interesadas y entregarles un disquete con los datos, o cualquier otra forma segura
que se le pueda ocurrir.Nunca envíe por correo electrónico estos archivos sin utilizar alguna forma de cifrado.
Los archivos a distribuir a las partes remotas son:
• /etc/freeswan/ipsec.d/fqdn_de_mandrakesecurity.crt
• /etc/freeswan/ipsec.d/fqdn_del_sistema_remoto.crt
• /etc/freeswan/ipsec.d/private/fqdn_del_sistema_remoto.key
Luego las partes remotas deben copiar esos archivos a los lugares apropiados en sus sistemas; de más está
decir que esta operación depende del tipo de sistema por lo que aquí no se detallará.
Luego que los certificados y claves se distribuyeron y copiaron a los

lugares apropiados en las máquinas remotas, se debe reiniciar el ser-
vicio IPSec en dichas máquinas remotas para incluir los certificados
y claves distribuidos.
7.3.9. Probando la VPN y haciéndola más segura

Llegó el momento de probar la VPN. Esto es bastante simple. Sólo debe hacer un ping a la red remota y ver
si obtiene una respuesta. Siguiendo nuestro ejemplo, el comando ping -c 2 172.16.1.10 debería devolver
algo como esto
PING 172.16.1.10 (172.16.1.10) from 192.168.0.70 : 56(84) bytes of data.
64 bytes from 172.16.1.10: icmp_seq=1 ttl=64 time=0.047 ms
64 bytes from 172.16.1.10: icmp_seq=2 ttl=64 time=0.069 ms
--- 192.168.0.70 ping statistics ---
2 packets transmitted, 2 received, 0% loss, time 1502ms
rtt min/avg/max/mdev = 0.047/0.055/0.069/0.011 ms
asumiendo que la máquina remota, 172.16.1.10, está conectada y funcionando.

Una vez que está seguro que la VPN funciona, debería reemplazar las políticas predeterminadas del cortafue-
gos para la misma a RECHAZAR (negar, de manera predeterminada, todo el tráfico por la VPN) y añadir reglas
del cortafuegos para los servicios específicos que necesita utilizar por medio de su VPN. La figura siguiente
muestra los valores de los campos para una regla del cortafuegos que permite el tráfico HTTP en el puerto 80
a través de la VPN:
100
Figura 7-9. Regla para permitir el tráfico HTTP sobre la VPN
7.4. Configurar un Cliente VPN

Vaya a la subsección Cliente de la sección VPN y haga clic sobre el botón Siguiente. La figura siguiente indica
los valores a ingresar en los diferentes campos:
Figura 7-10. Añadiendo el lado Cliente de una VPN
Una vez que completó todos los campos, presione el botón Aplicar para que sus cambios tengan efecto.
101
Por favor, consulte Añadir un Servidor VPN, página 98 para más

información sobre el significado de los campos.
Una vez que la VPN está configurada los roles de cliente/servidor

no tienen por qué permanecer iguales. Por ejemplo, Usted podrı́a
configurar un servidor VPN en su red y hacer que los servicios (ser-
vidores) accesibles por medio de la misma estén en la red remota.
Debe copiar a su sistema los archivos que se listan en Distribución de los certificados y las claves, página 99 (re-
cuerde que esto depende del sistema y por lo tanto no se explicará aquí como realizarlo) y luego hacer clic
sobre el vínculo Reiniciar IPSec para que los cambios tengan efecto.
102
Capı́tulo 8. Configuración de los clientes “enmascarados”
Este capítulo le mostrará como hacer que sistemas operativos diferentes utilicen una máquina GNU/Linux
con enmascarado configurada como pasarela al mundo exterior. Todas las pruebas resultaron exitosas en los
sistemas operativos siguientes:
• Apple Macintosh, con MacTCP u Open Transport;

• Commodore Amiga, con AmiTCP o AS225;
• Estaciones Digital VAX 3520 y 3100, con UCX (TCP/IP para VMS);
• Digital Alpha/AXP, con Linux/Redhat;
• IBM AIX (sobre un RS/6000), OS/2 (incluyendo Warp 3) y OS400 (sobre OS/400);
• Linux (¡por supuesto!): cualquier versión del núcleo desde la serie 1.2.x;
• Microsoft DOS (con el paquete Telnet de NCSA, soporte parcial para Trumpet DOS), Windows 3.1 (con el
paquete Netmanage Chameleon) y Windows Para Trabajo en Grupo 3.11 (con el paquete TCP/IP);
• Microsoft Windows 95, Windows 95 OSR2, Windows 98, Windows 98se;
• Microsoft Windows NT 3.51, 4.0 y 2000 (tanto la versión para estaciones de trabajo como la versión para
servidor);
• Servidor Novell Netware 4.01, con el servicio TCP/IP;
• SCO OpenServer (v3.2.4.2 y 5);
• Sun Solaris 2.51, 2.6 y 7.
Veamos los pasos de configuración para alguno de estos. Si su sistema no está listado, una forma simple de
proceder es: “simplemente decirle al sistema operativo qué máquina utilizar como pasarela”. Note que nuestro
foco principal aquí es el lado de la pasarela (también denominada gateway) de la red: por lo tanto no trataremos
sobre DNS, compartir archivos o problemas de esquema de conexión. Es por esto que para que este capítulo
le resulte de alguna utilidad, necesitará una red local bien configurada. Debe referirse a la documentación de
su sistema para configurarlo adecuadamente, prestando especial atención a las configuraciones del DNS.
Lo que sigue asume que Usted se encuentra en una red de clase C: sus máquinas tienen direcciones del tipo
192.168.0.x, con una máscara de sub-red configurada en 255.255.255.0, y utilizan eth0 como interfaz de red.
También se da por sentado que la dirección IP de su pasarela es 192.168.0.1, y que sus máquinas pueden
“hablar” con la pasarela (esto último se puede probar con el comando ping o el equivalente del mismo en su
entorno)
8.1. Máquina Linux

Hay (como mínimo) tres maneras de hacer esto.
8.1.1. Configuración “al vuelo”

Probablemente, esta sea la manera más rápida de proceder. Sin embargo, cuando Usted vuelva a iniciar su
capa de red o todo el sistema, ¡habrán desaparecido todos los cambios que haya hecho en la configuración!
Si eth0 es la interfaz de red a través de la cual accede a la pasarela, ingrese (como root) este comando simple:
route add default gw 192.168.0.1 eth0 ¡Ya está! Si la pasarela está configurada y conectada a la Internet
adecuadamente, ahora todo el mundo está a su alcance a través de su navegador web favorito.
8.1.2. Configuración manual permanente

Para mantener la configuración cada vez que se apaga y vuelve a iniciar el sistema, debe editar un archivo de
configuración. En una máquina Mandrake Linux este archivo se denomina /etc/sysconfig/network (puede
ser diferente en la suya) Debe abrirlo con su editor de texto preferido, y luego añadir las líneas siguientes:
GATEWAYDEV="eth0" GATEWAY="192.168.0.1"
Ahora puede volver a iniciar su capa de red con el comando service network restart
103
Capítulo 8. Configuración de los clientes “enmascarados”
8.1.3. Configuración automática permanente

Para instalar la configuración automáticamente, simplemente debe poner los parámetros correctos en el asis-
tente de configuración. Consulte la sección Configuración de la Internet en la Guía del Usuario. Cuando está
configurando una conexión con la Internet por la red local, el primer paso le ofrece configurar la red en modo
manual o automático (DHCP):
Figura 8-1. Volviendo a configurar la red local con Draknet
Simplemente ponga la información correcta de configuración en el asistente. Si tiene un servidor bootp o

DHCP en su red local, sólo debe marcar la casilla IP automática y su configuración está terminada. Si tiene
una dirección IP estática para su máquina, debe ingresarla en el primer campo luego de asegurarse que la
casilla IP automática no está marcada. Luego, haga clic sobre el botón Siguiente ->.
104
Figura 8-2. Configurando la pasarela con Draknet
Aquí, debe ingresar la dirección IP correcta de la pasarela y la del servidor DNS. Una vez que esto está hecho,
debe seguir los pasos del asistente y volver a iniciar la red cuando el asistente se lo proponga. Y eso es todo.
Su red está configurada apropiadamente y lista para ser utilizada. La configuración ya es permanente.
8.2. Máquina Windows XP

Aquí asumiremos que Usted ya ha configurado una conexión de red local. La imagen siguiente muestra los
pasos necesarios para obtener el diálogo deseado.
105
Figura 8-3. Configurando la pasarela con Windows XP
Aquí tiene las acciones a tomar para ir de una ventana a la otra:
1. En el escritorio, haga clic derecho sobre el icono Mis sitios de red, y seleccione Propiedades en el menú que
aparece.
2. En la ventana Conexiones de red haga lo mismo con la conexión vinculada a la red donde está ubicada la
pasarela.
3. En el diálogo siguiente seleccione la entrada Protocolo de Internet (TCP/IP) y haga clic sobre el botón
Propiedades.
4. En este diálogo Usted puede elegir marcar Obtener una dirección IP automáticamente si tiene un servidor
DHCP en su red. Entonces, también debería configurarse automáticamente la pasarela. De no ser así,
marque Usar la dirección IP siguiente y complete los campos asociados.
8.3. Máquina Windows 95 o Windows 98
Figura 8-4. El icono de red bajo Windows 95/98
Comience por ir al Panel de Control (Inicio+Configuración→Panel de Control) y encuentre el icono de red que
se muestra. Haga doble clic sobre el mismo: aparecerá el panel de configuración de la red.
106
Figura 8-5. El panel de configuración de la red bajo Windows 95
En la lista que se muestra, debería encontrar un protocolo denominado TCP/IP. De no ser así, tendrá que
consultar la documentación de su sistema para encontrar la manera de instalarlo. Si ya está allí, selecciónelo y
haga clic sobre “Propiedades”.
107
Figura 8-6. El panel de configuración TCP/IP bajo Windows 95
Esta ventana le permitirá configurar sus parámetros TCP/IP. El administrador de su sistema le dirá si Usted
tiene una dirección IP estática o si está utilizando DHCP (dirección IP automática) Haga clic sobre la solapa
Puerta de enlace.
Figura 8-7. El panel de configuración de la pasarela bajo Windows 95
108
El resto ¡es un juego de niños! Complete los blancos con la dirección IP de su pasarela (en nuestro ejemplo es
192.168.0.1) Haga clic sobre el botón Agregar y luego sobre el botón Aceptar.
Deberá reiniciar su computadora, por supuesto. Una vez que esté hecho, debe fijarse si puede llegar al resto
del mundo.
8.4. Máquina Windows NT o Windows 2000

Para configurar estos sistemas operativos siga estos pasos simples:
1. Vaya a Panel de Control+Redes→Protocolo.
Figura 8-8. El panel de configuración del protocolo bajo Windows NT/2000
2. Primero, seleccione Protocolo Internet (TCP/IP) en la lista de protocolos de red. Luego, haga clic sobre
el botón Propiedades y seleccione la tarjeta de red conectada a la red local (Figura 8-9) En este ejemplo,
mostramos una configuración con el servidor DHCP activado en el servidor MandrakeSecurity : la opción
Obtener una dirección IP automáticamente está marcada.
109
Figura 8-9. El panel de software de red bajo Windows NT/2000
Si este es su caso, sólo necesita confirmar todas esas opciones y reiniciar. En caso contrario, debe seguir los
pasos siguientes.
3. Si no tiene un servidor DHCP, debe configurar a mano todos los parámetros. Comience marcando la
opción Usar la siguiente dirección IP (Figura 8-10)
Figura 8-10. El panel de configuración TCP/IP bajo Windows NT/2000
Seleccione el adaptador apropiado, la dirección IP ya debería ser la correcta.
110
4. Simplemente complete el campo Puerta de enlace predeterminada con 192.168.0.1 (la dirección IP de la
máquina GNU/Linux que comparte la conexión en nuestro ejemplo)
5. Finalmente, deberá especificar los servidores DNS que utiliza en la solapa DNS como se muestra en Figura
8-11.
Figura 8-11. El panel de configuración de DNS bajo Windows NT/2000
También debe proporcionar un nombre de host y un nombre de dominio asociado.
A menos que sepa exactamente lo que está haciendo, proceda con

sumo cuidado con los pasos siguientes:
• deje el campo Configuración DHCP automática en blanco

a menos que tenga un servidor DHCP en algún lugar de su
red;
• deje todos los campos WINS en blanco a menos que tenga
uno o más servidores WINS;
• no coloque una marca en el campo Habilitar reenvío de IP
a menos que su máquina Windows se utilice para ruteo y,
una vez más, Usted sepa exactamente lo que está haciendo;
• por favor deshabilite DNS para resolución de nombres
Windows y Habilitar la búsqueda de LMHOSTS.
Haga clic sobre Aceptar en los cuadros de diálogo cuando aparezcan y vuelva a iniciar su computadora para
poner a prueba la configuración.
111
8.5. Máquina DOS utilizando el paquete NCSA Telnet

En el directorio que contiene el paquete NCSA encontrará un archivo denominado config.tel. Debe editarlo
con su editor favorito y añadir las líneas siguientes:
name=default
host=nombre_de_su_host_linux hostip=192.168.0.1
gateway=1
Por supuesto, debe escribir el nombre de su máquina GNU/Linux en lugar de nombre_de_su_host_linux y

cambiar la dirección IP de la pasarela que se da como ejemplo (192.168.0.1) si es necesario.
Ahora, grabe el archivo e intente hacer telnet a su máquina GNU/Linux y luego, desde allí, a algún lugar allí
afuera...
8.6. Windows para Trabajo en Grupo 3.11

Ya debería estar instalado el paquete TCP/IP 32. Debe dirigirse a la entrada de menú Principal+Configuración
de Windows+Configuración de red→Controladores y seleccionar Microsoft TCP/IP-32 3.11b en la sección Con-
troladores de red, luego hacer clic sobre Configurar.
A partir de aquí, el procedimiento es bastante similar al descripto en la sección sobre Windows NT/2000 .
8.7. Máquina MacOS
8.7.1. MacOS 8/9
Antes que nada debe abrir el Panel de Control TCP/IP como se muestra debajo en el menú Apple.
112
Figura 8-12. Accediendo al panel de control TCP/IP
8.7.1.1. Con una configuración automática por DHCP
Si configuró su cortafuegos para que sea un servidor DHCP, siga este procedimiento tal cual, en caso contrario
vaya a la próxima sección.
113
Figura 8-13. Configuración automática del acceso a la Internet para MacOS
En el diálogo que aparece complete los campos como se muestra a partir de aquí:
• Conectar por medio de: Ethernet;

• Configurar: Utilizando servidor DHCP;
• ID del cliente DHCP: 192.168.0.1.
8.7.1.2. Para una configuración manual
Si no tiene un servidor DHCP en su red local, siga este procedimiento:
114
Figura 8-14. Configuración manual del acceso a la Internet para MacOS
En el diálogo que aparece complete los campos como se muestra aquí:
• Conectar por medio de: Ethernet;

• Configurar: Manualmente;
• Dirección IP: 192.168.0.248;
• Máscara de sub-red: 255.255.255.0;
• Dirección del router: 192.168.0.1;
• Direcciones de los servidores de nombres: 192.168.0.10; 192.168.0.11
• Dominio de búsqueda: miempresa.com;
Las direcciones de los servidores de nombres pueden ser las direc-

ciones de los DNS internos o las de los servidores de su Proveedor
de servicios de Internet.
8.7.2. MacTCP
1. En el Panel de control de MacTCP, seleccione el controlador de red Ethernet (cuidado, no es EtherTalk) y

luego haga clic sobre el botón Más....
2. Bajo Dirección de la pasarela ingrese la dirección de la máquina GNU/Linux que comparte la conexión
(192.168.0.1 en nuestro ejemplo)
3. Haga clic sobre Aceptar para guardar los cambios. Puede tener que volver a iniciar su sistema para probar
estas configuraciones.
115
8.8. Máquina OS/2 Warp

El protocolo TCP/IP ya debería estar instalado. De no ser así, debe instalarlo.
1. Vaya a Programas, luego TCP/IP (LAN), luego Configuraciones de TCP/IP.

2. Bajo Ruteo, elija Añadir. En Tipo seleccione predeterminado.
3. Complete el campo Dirección del router con la dirección de su máquina GNU/Linux que comparte la cone-
xión (192.168.0.1 en nuestro ejemplo)
4. Ahora cierre el panel de control TCP/IP, responda Sí a todas las preguntas, y luego vuelva a arrancar su
sistema antes de probar las configuraciones.
116
Capı́tulo 9. Monitoreando el cortafuegos
Echaremos un vistazo a las herramientas de monitoreo disponibles para su sistema cortafuegos: gráficas de
utilización de la red y del sistema y la herramienta más potente a la hora de auditar un sistema: los registros
(logs) del sistema.
9.1. Utilización de la red y del sistema

La pantalla principal del grupo Monitoreo muestra el uptime del sistema cortafuegos (es decir, por cuánto
tiempo ha estado corriendo el sistema sin haber sido reiniciado); la cantidad de usuarios conectados en ese
momento y los promedios de carga del sistema durante los últimos 1, 5 y 15 minutos.
117
Capítulo 9. Monitoreando el cortafuegos
9.1.1. Monitoreo de la utilización del sistema
Los dos gráficos que se muestran aquí le informan acerca de la carga de su sistema. Son indicadores buenos de
cuan bien se está desempeñando su sistema con la carga actual y se pueden utilizar para soportar decisiones
sobre la actualización de CPU/RAM.
• avgload: representa la carga promedio de la CPU en las últimas 24 horas. La unidad utilizada indica apro-
ximadamente la cantidad de procesos que están intentando acceder simultáneamente a la CPU. Una carga
normal debería permanecer por debajo de 2. Si la carga está entre 2 y 5 su sistema está bastante ocupado.
Por encima de 6, debería considerar actualizar su CPU.
• memusage: representa el uso de la memoria RAM principal (en Megabytes) Se utilizan colores diferentes
para dar informaciones más precisas acerca de la forma en que se utiliza la memoria (RAM utilizada en
negro, RAM libre en verde, Swap - intercambio - en rojo, y caché en amarillo)
Predeterminadamente se muestra una gráfica diaria. Si hace clic sobre el icono a la izquierda de la
gráfica se mostrarán las gráficas diaria, semanal, mensual y anual todas en una única página. Esto puede
resultar útil para planificar la utilización del sistema. Haga clic sobre "Anterior" para volver a la gráfica diaria.
Para actualizar las gráficas haga clic sobre el botón "Refrescar".
118
9.1.1.1. Monitoreo de la carga de la CPU
Aquí encontrará gráficas del uso de la CPU con escalas de tiempo diferentes.
Se muestra la carga promedio de la CPU gráficamente por Día, Semana, Mes y Año todo en una sola página.
La unidad utilizada indica aproximadamente la cantidad de procesos que están intentando acceder simultá-
neamente a la CPU. Los valores normales están por debajo de 2. Los valores por encima de 6 indican que
debería considerar actualizar su CPU.
Haga clic sobre el botón "Refrescar" para actualizar las gráficas.
Haga clic sobre para volver a la sección Utilización del sistema.
Si hace clic sobre se lo llevará de vuelta a la página predeterminada (de inicio).
9.1.1.2. Monitoreo del uso de la memoria
Aquí encontrará gráficas de la utilización de la memoria RAM con escalas temporales diferentes.
Se muestra el uso de la memoria RAM (física) gráficamente por Día, Semana, Mes y Año todo en una misma
página. Se utilizan colores diferentes para brindar una información más precisa acerca de la forma en la cual
se está utilizando la memoria (RAM usada en negro, RAM libre en verde, Swap - intercambio - en rojo, y caché
en amarillo)
Haga clic sobre el botón "Refrescar" para actualizar las gráficas.
Haga clic sobre para volver a la sección Utilización del sistema.
Si hace clic sobre se lo llevará de vuelta a la página predeterminada (de inicio)
119
9.1.2. Monitoreo del tráfico de red
Las gráficas que se muestran aquí le informan acerca del tráfico de red entrante/saliente sobre sus interfaces.
La primer página le muestra el tráfico para todas las interfaces durante la última hora (de manera predeter-
minada) Las unidades utilizadas se ajustarán según el tráfico en cada interfaz, de forma tal que Usted puede
tener al tráfico expresado en bytes/seg., Kbytes/seg., Mbytes/seg., etc.
En la parte superior de la página tiene una lista de las escalas de tiempo disponibles para las gráficas: Horaria,
Diaria, Semanal, Mensual y Anual. Para cambiar la escala de tiempo, simplemente haga clic sobre el vínculo
correspondiente.
Cada gráfica también le dice el tráfico promedio y máximo entrante/saliente para las interfaces de red. El
tráfico entrante se representa en verde y el saliente en gris oscuro.
Si hace clic sobre el icono a la derecha de cada gráfica (disponible sólo en el modo Horaria) será
llevado a las estadísticas de tráfico sobre la interfaz correspondiente.
Para actualizar las gráficas haga clic sobre el botón "Refrescar".
Por ejemplo, Usted podría utilizar las gráficas que se muestran arriba para planificar los horarios de conexión
y el ancho de banda de su red.
120
9.2. Registros
Los registros del sistema son una herramienta muy potente para auditar y analizar el desempeño del sistema.
Por supuesto, alguien (el administrador del sistema) los debe leer para que sean realmente útiles. Se registran
todos los eventos que ocurren en su sistema cortafuegos; puede acceder a los registros bajo la sub-sección
Registros.
9.2.1. Registro de mensajes del sistema
El elemento Sistema le permite echar un vistazo al registro del sistema.
La tabla muestra todos los mensajes del sistema que se registran, por ejemplo: contraseñas fallidas/aceptadas
para sshd, actualizaciones de NTP, ejecuciones de los scripts de mantenimiento del sistema, etc.
Las columnas de las tablas representan, respectivamente: en qué fecha y a qué hora; qué proceso; y qué mensaje
fue generado para cada evento registrado.
Haga clic sobre "Refrescar" para obtener las entradas más recientes.
121
9.2.2. Registros de autenticación
El elemento Autenticación le permite echar un vistazo al registro de autenticación (relacionado con la seguri-
dad) de su sistema.
La tabla describe los eventos registrados que están relacionados con la autenticación, por ejemplo, los cambios
de modo de archivo a los archivo de registro, los servicios que se arrancan/detienen, los intentos de conexión
fallidos en la consola y por medio de ssh, etc. Los servicios típicos para este tipo de mensajes son:
• msec: la herramienta de seguridad de Mandrake;

• sshd: el demonio del shell seguro;
• xinetd: reemplazo seguro para inetd, el demonio Internet;
122
9.2.3. Registros del cortafuegos
El elemento Cortafuegos le permite echar un vistazo a los registros de filtrado de paquetes para su cortafuegos.
Aquí encontrará reportes para todas las cadenas del cortafuegos. Se pueden generar los reportes de acuerdo a
criterios diferentes:
• todo y resolución de nombres: muestra todos los detalles acerca de los paquetes, a saber: número de paquete;
inicio; lapso; protocolo; IP fuente, nombre del host y puerto; IP destino, nombre del host y puerto y las
opciones del paquete.
• IP destino: muestra sólo los detalles siguientes acerca de los paquetes: número de paquete; inicio; lapso e IP
destino.
• IP fuente: muestra sólo los detalles siguientes acerca de los paquetes: número de paquete; inicio; lapso e IP
fuente.
• IP fuente y destino: muestra sólo los detalles siguientes acerca de los paquetes: número de paquete; inicio;
lapso; IP fuente e IP destino.
• con puerto de destino: muestra sólo los detalles siguientes acerca de los paquetes: número de paquete; inicio;
lapso; IP fuente; IP y puerto de destino.
• con puerto fuente: muestra sólo los detalles siguientes acerca de los paquetes: número de paquete; inicio;
lapso; IP y puerto fuente; IP destino.
• con puertos fuente y destino: muestra sólo los detalles siguientes acerca de los paquetes: número de paquete;
inicio; lapso; IP y puerto fuente e IP y puerto de destino.
• con opciones TCP: muestra los mismos detalles que "todo y resolución de nombres" excepto los nombres de
host fuente y destino.
123
Si hace clic sobre a la izquierda de cada uno de los elementos de arriba le mostrará la ventana de
registro del cortafuegos correspondiente, por ejemplo:
Generated Mon Apr 15 11:16:09 ART 2002 by root.
5 of 456 items in the file "/var/log/messages" are packet logs, one has unique characteristics.
First packet log entry: Apr 15 10:53:26; last: Apr 15 10:53:26.
All entries where logged by the same host: "e500".
All entries are from the same chain: "Shorewall:fw2all:REJECT:".
All entries have the same target: "-".
All entries are from the same interface: "".
Only entries with a count larger than 2 are shown.
Luego del mensaje de arriba sigue una tabla con los detalles de los paquetes.
Estos registros pueden no estar disponibles de inmediato debido a

la actividad del sistema.
9.2.4. Registros de Prelude IDS
El elemento Prelude IDS le permite echar un vistazo a los registros de Prelude IDS (relacionados con la segu-
ridad) para su sistema.
El Sistema de detección de intrusiones (IDS) Prelude reporta paquetes "anormales" (no esperados, sospecho-
sos) que recibe su sistema y que están dirigidos a su red. También intenta evitar recibir ese tipo de ataques.
Si Prelude IDS no está activo en su sistema el reporte muestra algo como lo siguiente:
Reportes
vacı́o Prelude IDS todavı́a no fue activado
Si Prelude IDS está activo pero no se han intentado ataques sobre su sistema, el reporte muestra algo como lo
siguiente:
Reportes
vacı́o ¡No hay registro disponible!
Algunos registros pueden no estar disponibles de inmediato debido

a la actividad del sistema.
124
Cuando estén disponibles los registros, puede hacer clic sobre para mostrar la ventana de resumen
de registros de Prelude IDS.
9.2.5. Registros de Snort IDS
El elemento Snort IDS le permite echar un vistazo a los registros de Snort IDS (relacionados con la seguridad)
para su sistema.
El Sistema de detección de intrusiones (IDS) Snort analiza el tráfico entrante en su red buscando coincidencias
contra reglas predefinidas y realiza acciones basadas en dichas reglas.
Si Snort IDS no está activo en su sistema el reporte muestra algo como lo siguiente:
Reportes
vacı́o Snort IDS todavı́a no fue activado
Si Snort IDS está activo pero no se han intentado ataques sobre su sistema, el reporte muestra algo como lo
siguiente:
Reportes
vacı́o ¡No hay registro disponible!

de registros de Snort IDS.
Debajo encontrará un ejemplo de reporte de Snort .
125
Figura 9-1. Ejemplo de reporte de Snort
9.2.6. Registros del servidor proxy
El elemento Proxy web le permite echar un vistazo a los registros del servidor proxy Squid para su sistema.
Squid es un servidor proxy de almacenamiento intermedio de alto rendimiento para los clientes web que
soporta objetos de datos FTP, gopher y HTTP. También recuerda las búsquedas DNS. Esto hace que el uso de
su ancho de banda de Internet sea más eficiente a la vez que brinda clientes web más "ágiles".
En esta página encontrará información de acceso, uso de recursos (memoria, espacio en disco) y errores de
configuración para el servidor web proxy Squid.
Si el servidor proxy Squid no está activo en su sistema el reporte muestra algo como lo siguiente:
Reportes
126
vacı́o El servidor proxy todavı́a no se activó
Si el servidor proxy está activo, pero no se registraron eventos, el reporte muestra algo como:
Lista vacı́a...

de registros del Servidor Proxy.
9.2.7. Registros DHCP
El elemento DHCP le permite echar un vistazo al registro del servidor DHCP para su sistema.
Aquí se muestran los mensajes del servidor DHCP, asignaciones de IP a las interfaces, paquetes DHCP de los
clientes, y mensajes del tipo.
Si el servidor DHCP no está activo en su sistema, el reporte muestra algo como lo siguiente:
Reportes
vacı́o Todavı́a no se ha activado el servidor DHCP
Si el servidor DHCP está activo en su sistema, entonces si hace un clic sobre se le mostrará una tabla
con la información de la sub-red DHCP. La tabla tiene las columnas siguientes: Ubicación, Sub-red, Máscara
de sub-red, rango de IP, Router, IP definidas, IP utilizadas e IP libres.
127
128
Capı́tulo 10. Herramientas de administración
Echaremos un vistazo a las herramientas de administración disponibles para su sistema cortafuegos: Consola
remota, copia de respaldo/restauración de la configuración del cortafuegos y actualizaciones del software.
Figura 10-1. Pantalla principal de Herramientas
Cuando hace clic sobre el vínculo Herramientas se le presenta la pantalla que se muestra en Figura 10-1 donde
tiene un botón Apagar el cortafuegos. Si hace clic sobre ese botón el sistema cortafuegos se apagará, por lo
tanto todos los usuarios que dependen del mismo se quedarán, por ejemplo, sin conexión a la Internet. Utilice
este botón con sumo cuidado.
129
Capítulo 10. Herramientas de administración
10.1. Conexión remota utilizando SSH
Si hizo clic sobre la sub-sección Conexión remota en la sección Herramientas se le presentará una ventana que
está ejecutando una consola SSH que le permitirá realizar algunas acciones como si Usted estuviera sentado
en la consola del sistema cortafuegos.
En el prompt, ingrese "admin" como login (sin las comillas) y luego la contraseña de admin:
firewall login:admin
admin@firewall’s password: *********
Luego de una conexión exitosa, se le mostrará el shell y podrá realizar tareas administrativas como si estuviera
sentado directamente frente a la máquina cortafuegos.
Tenga en cuenta que las acciones realizadas utilizando la consola

remota pueden hacer que sus modificaciones se pierdan. Si más
tarde decide volver a utilizar la interfaz web para modificar la con-
figuración, las modificaciones manuales hechas con la consola se
perderán. Por lo tanto, debe asegurarse de utilizar la interfaz web
siempre que sea posible en vez de la conexión SSH para cambiar
los parámetros de su sistema cortafuegos.
Finalmente, note que si Usted tiene un cliente SSH instalado en su máquina, puede conectarse al sistema
cortafuegos directamente y pasar por alto la interfaz web. Por favor, tenga presente que todavía es válida la
advertencia anterior en esta situación.
130
10.2. Respaldar y Restaurar
Esta característica hace una copia de respaldo de toda la configuración de su sistema cortafuegos permitién-
dole recuperarlo con rapidez en caso de una falla mayor del sistema o volver a configurar con facilidad un
sistema cortafuegos nuevo basado en la configuración que se respaldó.
Para crear una copia de respaldo de su archivo de configuración, haga clic sobre el botón "Respaldar". Esto
realizará el respaldo y lo llevará a una página donde lo puede obtener. Por favor, consulte la ayuda de dicha
página para las instrucciones sobre como obtener la copia de respaldo.
Para restaurar la configuración necesita "Elegir el archivo de configuración" haciendo clic sobre el botón "Exa-
minar...". Aparece una ventana que le permite seleccionar el archivo que contiene la configuración respaldada.
Si siguió el procedimiento que se describe en la página de ayuda de la copia de respaldo, este debería ser
"/mnt/floppy/ConfigurationBackup" (sin las comillas). Si no guardó sus copias de respaldo en disquetes,
entonces es aconsejable que las copie a disquete regularmente y almacene los disquetes en un lugar seguro.
Esta copia de respaldo sólo contendrá los parámetros que maneja la

interfaz web. Si ha hecho modificaciones a algunos parámetros de
configuración utilizando otros medios, ej: la herramienta de Cone-
xión remota o una conexión directa a través de SSH, deberá realizar
manualmente la copia de respaldo de esas modificaciones (archivos)
especı́ficas.
Elija el archivo de configuración /mnt/floppy/ConfigurationBackup
Cuando esté listo, haga clic sobre el botón "Subir". Se lo llevará a una página de confirmación para apli-
car/modificar/cancelar los cambios. Por favor, consulte la página de ayuda correspondiente para más deta-
lles.
Debajo tiene una pantalla de ejemplo de la sección de Restauración completada con el nombre de archivo del
archivo de configuración respaldado a restaurar en su sistema cortafuegos.
131
Figura 10-2. Pantalla de restauración de ejemplo
Una vez que hizo clic sobre el botón Enviar, se le presenta una pantalla de confirmación, como la que se
muestra en Figura 10-3; haga clic sobre el botón Aplicar para aplicar la configuración a su sistema cortafuegos.
Figura 10-3. Aplicar la configuración del archivo restaurado
10.2.1. Recuperando la configuración respaldada
Aquí puede almacenar la configuración de su cortafuegos en un disquete (u otro soporte removible)
132
Luego de haber hecho clic sobre el botón "Respaldar" en la página anterior se le proporciona un vínculo (de-
nominado "Archivo de respaldo") para que pueda recuperar la configuración respaldada. Por favor, proceda
de la manera siguiente (se asume que desea almacenar su configuración en un disquete):
• Inserte un disquete vacío en su disquetera.

• Haga un clic derecho (dependiendo de su navegador web, puede ser que necesite presionar "Mayús" mien-
tras hace clic con el botón izquierdo de su ratón) sobre el vínculo "Archivo de respaldo" y seleccione la
opción "Descargar vínculo" (otra vez, esto puede diferir para su navegador web...)
• Cuando se le pida el nombre del archivo, ingrese "/mnt/floppy/ConfigurationBackup" (sin las comillas)
Puede cambiar ConfigurationBackup por otro nombre si lo desea/necesita.
• Acepte y grábelo.
Luego de realizar los pasos anteriores la configuración de su cortafuegos estará en el disquete. Quítelo de
la disquetera, protéjalo contra escritura y almacénelo en un lugar seguro. Luego haga clic sobre el botón
para volver a la página Respaldar/Restaurar.
Al hacer clic sobre volverá a la página predeterminada (de inicio).
10.3. Actualizar el software
Este asistente le permite realizar actualizaciones de todos los paquetes instalados en su sistema. Por razones
de seguridad, es esencial que Usted verifique regularmente si existen actualizaciones del software.
Sitio de réplica actual ftp://ftp-linux.cc.gatech.edu/pub/linux/distributions/
Esto muestra el sitio de réplica seleccionado en este momento para obtener las actualizaciones de software.
Modificar el tipo de sitio de Sitio de réplica registrado

réplica
Tiene que elegir entre tres tipos de sitios de réplica diferentes:
• Sitio de réplica registrado: esta opción le dará acceso al sitio de actualizaciondes dedicado a MandrakeSecu-
rity. Contiene actualizaciones para la distribución Linux regular en la que se basa MandrakeSecurity, pero
también paquetes específicos de MandrakeSecurity, así como también módulos opcionales.
• Sitio de réplica oficial: en la página siguiente se le brinda una lista de todos los sitios de réplica oficiales de
Mandrake Linux. Es altamente recomendable que elija uno de estos como sitio de réplica.
• Sitio de réplica personal: en la página siguiente podrá ingresar manualmente la URL del sitio que contiene
las actualizaciones para su sistema.
133
Realice su selección y haga clic sobre para continuar con el paso siguiente. Por favor, consulte la
página de ayuda del paso siguiente para más detalles.
Si hace clic sobre volverá a la página predeterminada (de inicio) cancelando este asistente.
134
Temas de redes y seguridad
Hasta ahora, en este manual ha estado leyendo información muy práctica. Usted debería poder configurar su
servidor de manera eficiente y estar conforme con el mismo.
Sin embargo, todo eso es sólo una pequeña parte de las posibilidades de su sistema Mandrake Linux. Pa-
ra poder comprenderlo por completo, elegimos añadir dos capítulos para completar su conocimiento sobre
Mandrake Linux:
• Seguridad bajo GNU/Linux, página 137: este capítulo es de lectura obligatoria para cualquier administrador
de sistemas. Incluso si Usted puede hacer que su sistema Mandrake Linux sea bastante seguro con las
herramientas predeterminadas, sólo se puede alcanzar una seguridad eficiente a través de la administración
activa, cuidando tanto la seguridad global física como lógica del sistema;
• Generalidades sobre redes, página 177: se supone que un servidor brinda servicios a una red. Este manual hu-
biera estado incompleto sin un capítulo dedicado a las redes. Se trata la configuración de la red propiamente
dicha así como los diferentes protocolos.
136
Capı́tulo 11. Seguridad bajo GNU/Linux
Este documento es una revisión general de los temas de seguridad con los que se enfrenta el administrador de
sistemas GNU/Linux . El mismo cubre la filosofía general de la seguridad y una cantidad específica de ejemplos
sobre como asegurar mejor a su sistema GNU/Linux contra los intrusos. También se incluyen referencias a
materiales y programas relacionados con la seguridad.
1. El documento original (ver debajo) ha sido adaptado a la

distribución Mandrake Linux quitando partes, cambian-
do otras, etc.
11.1. Preámbulo
Este capítulo está basado en un COMO por Kevin Fenzi y Dave Wreski cuyo original se encuentra en el Proyecto
de documentación de Linux (http://www.tldp.org)
11.1.1. Información de Copyright

Copyright (c) 1998 - 2002 Kevin Fenzi y Dave Wreski
Modificaciones de la v1.3.1, 11 de febrero de 2002, (C)opyright 2000-2002 MandrakeSoft
11.1.2. Introducción
Este capítulo cubre algunos temas que afectan la seguridad en GNU/Linux . Se discute la filosofía general y los
recursos nacidos de la red.
Muchos otros documentos COMO se solapan con los temas de seguridad y se ha hecho referencia a dichos
documentos donde era apropiado.
No es la intención de este capítulo ser un documento actualizado de las explotaciones de la seguridad. Sucede
un gran número de explotaciones nuevas todo el tiempo. Este capítulo le dirá dónde debe buscar información
actualizada al respecto, y le brindará algunos métodos generales para evitar que dichas explotaciones ocurran.
11.2. Generalidades
Este capítulo intentará explicar algunos procedimientos y software utilizados comúnmente para ayudar a su
sistema GNU/Linux a ser más seguro. Es importante discutir primero algunos de los conceptos básicos, y crear
los fundamentos de la seguridad antes de comenzar.
11.2.1. ¿Por qué necesitamos a la seguridad?

En el mundo en constante cambio de las comunicaciones globales, las comunicaciones baratas con la Inter-
net, y el desarrollo de software a un ritmo rápido, la seguridad se está volviendo, cada vez más, un tema a
tener presente. Ahora, la seguridad es una necesidad básica porque la computación global es inherentemente
insegura. Mientras sus datos van desde el punto A al punto B en la Internet, por ejemplo, pueden pasar por
varios otros puntos en el camino, dándole a otros usuarios la oportunidad de interceptar, e incluso alterar, esos
datos. Incluso otros usuarios en su sistema pueden transformar maliciosamente sus datos en algo que Usted
no tenía intención de que se transformasen. Los intrusos, conocidos también como “crackers”, pueden obtener
un acceso no autorizado a su sistema, y luego usar conocimientos avanzados para hacerse pasar por Usted,
robarle información, o incluso negarle a Usted el acceso a sus propios recursos. Si se está preguntando cual es
la diferencia entre un “Hacker” y un “Cracker”, vea el documento de Eric Raymond, “ How to Become A Hac-
ker ” (Cómo convertirse en un hacker), disponible en http://www.netaxs.com/~esr/faqs/hacker-howto.html
(http://www.netaxs.com/~esr/faqs/hacker-howto.html).
137
Capítulo 11. Seguridad bajo GNU/Linux
11.2.2. ¿Cuan seguro es Seguro?

Primero, tenga presente que no hay sistema de computadoras que pueda ser jamás completamente seguro.
Todo lo que Usted puede hacer es volver incrementalmente difícil para alguien el hecho de comprometer a su
sistema. Para el sistema GNU/Linux casero promedio, no se necesita mucho para mantener a raya al cracker
casual. Sin embargo, para los usuarios de GNU/Linux de perfil alto (bancos, compañías de telecomunicaciones,
etc), se necesita mucho más trabajo.
Otro factor a tener en cuenta es que cuanto más seguro es su sistema, más intrusiva se vuelve su seguridad.
Usted debe decidir en qué punto de este acto de balance su sistema todavía será utilizable, y todavía seguro
para sus propósitos. Por ejemplo, puede requerir que todos los que ingresen por conexión telefónica a su
sistema usen un módem con call-back para llamarlos a ellos al número de sus casas. Esto es más seguro, pero
se les dificultará el ingreso al sistema a aquellos que no se encuentren en su casa. También puede configurar
su sistema GNU/Linux sin conexión de red o conexión a la Internet alguna, pero esto limita su utilidad.
Si está en un sitio mediano a grande, debería establecer una política de seguridad que diga cuanta seguridad
necesita su sitio y que auditoría se hace en el sitio para verificar esa política. Puede encontrar un ejemplo bien
conocido de política de seguridad en faqs.org (http://www.faqs.org/rfcs/rfc2196.html). Ha sido actua-
lizado recientemente, y contiene una gran base de trabajo para establecer una política de seguridad para su
compañía.
11.2.3. ¿Qué está tratando proteger?

Antes de intentar asegurar su sistema, debería determinar cuál es el nivel de amenaza del que se tiene que
proteger, qué riesgos debería o no debería tomar, y cuan vulnerable es su sistema como resultado de esas
determinaciones. Usted debería analizar su sistema para saber qué es lo que está protegiendo, por qué lo está
protegiendo, qué valor tiene, y quién tiene la responsabilidad sobre sus datos y otras pertenencias.
• Riesgo es la posibilidad de que un intruso pueda tener éxito en el intento de acceder a su computadora.
¿Puede un intruso leer o escribir archivos, o ejecutar programas que puedan causar daño? ¿Puede borrar
datos críticos? ¿Puede evitar que Usted o su compañía hagan trabajos importantes? No lo olvide: alguien
que gane acceso a su cuenta o a su sistema, también puede hacerse pasar por Usted.
Adicionalmente, el hecho de tener una cuenta insegura en su sistema puede resultar en que toda su red esté
comprometida. Si permite que un solo usuario ingrese usando un archivo .rhosts, o que use un servicio
inseguro, tal como tftp, se arriesga a que un intruso ponga “un pie en la puerta”. Una vez que el intruso
tiene una cuenta de usuario en su sistema, o en el sistema de otra persona, puede usar dicha cuenta para
ganar acceso a otro sistema, u otra cuenta.
• Amenaza es típicamente de alguien con motivación para ganar acceso no autorizado a su red o computa-
dora. Usted debe decidir a quienes confía el acceso a su sistema, y qué amenazas pueden presentar.
Hay varios tipos de intrusos, y es útil tener presentes las diferentes características de los mismos cuando
Usted está asegurando sus sistemas.
• El Curioso – Este tipo de intruso está interesado básicamente en encontrar qué tipo de sistema y qué tipo
de datos tiene Usted.
• El Malicioso – Este tipo de intruso tiene como objetivo ya sea hacer caer a sus sistemas, o modificar su
página web, u obligarlo de alguna otra manera a gastar tiempo y dinero recuperándose del daño que él
le ha causado.
• El Intruso de Perfil Alto – Este tipo de intruso está intentando usar a su sistema para ganar popularidad
e infamia. Puede ser que use su sistema de perfil alto para hacer alarde de sus habilidades.
• La Competencia – Este tipo de intruso está interesado en los datos que Usted tiene en su sistema. Podría
ser alguien que piensa que Usted tiene algo que lo pueda beneficiar, ya sea financieramente o de alguna
otra forma.
• Los Ladrones – Este tipo de intruso está interesado en plantar campamento en su sistema y usar los
recursos del mismo para sus propósitos. Típicamente él correrá servidores de chat o IRC, archivos de
sitios porno, o incluso servidores DNS.
138
• El Saltador de Escalones – Este tipo de intruso sólo está interesado en su sistema para usarlo como medio
para entrar en otros sistemas. Si su sistema está bien conectado o es una pasarela a una cantidad de hosts
internos, bien puede ver este a este tipo de intruso intentado comprometer a su sistema.
• Vulnerabilidad describe cuan bien protegida de otras redes está su computadora, y el potencial de que
alguien gane acceso no autorizado.
¿Qué es lo que está en juego si alguien irrumpe en su sistema? Por supuesto que los temores de un usuario
hogareño de PPP dinámico serán diferentes a los de una compañía que conecta sus máquinas a la Internet,
u otra red grande.
¿Cuanto tiempo tomaría recuperar/recrear cualquier dato (o datos) que se haya(n) perdido? Una inversión
en tiempo ahora puede ahorrar diez veces más tiempo luego si tiene que recrear los datos que se perdieron.
¿Ha verificado últimamente su estrategia de copia de respaldo, y verificado sus datos?
11.2.4. Desarrollando una polı́tica de seguridad

Debe crear una política simple, genérica, para su sistema, que sus usuarios puedan comprender y seguir fácil-
mente. Debería proteger los datos que está salvaguardando así como también la privacidad de los usuarios.
Algunas otras cosas que hay que considerar son: quién tiene acceso al sistema (¿Puede mi amigo usar mi cuen-
ta?), a quién se le permite instalar software en el sistema, quién es el dueño de cuales datos, recuperación en
caso de desastre, y uso apropiado del sistema.
Una política de seguridad generalmente aceptada comienza con la frase
“Aquello que no está permitido, está prohibido”
Esto significa que a menos que Usted garantice a un usuario el acceso a un servicio, ese usuario no debería
estar usando ese servicio hasta que Usted haga efectiva la garantía de acceso. Asegúrese que las políticas
funcionan en su cuenta de usuario no privilegiado. Decir, “Ah, No puedo darme cuenta de este problema de
permisos, simplemente lo haré como root” puede conducir a huecos en la seguridad que son muy obvios, e
incluso a algunos que todavía no han sido explotados.
rfc1244 (http://www.faqs.org/rfcs/rfc1244.html) es un documento que describe como crear su propia
política de seguridad de la red.
rfc1281 (http://www.faqs.org/rfcs/rfc1281.html) es un documento que muestra un ejemplo de política de
seguridad con descripciones detalladas de cada paso.
Finalmente, podría querer mirar el archivo de políticas COAST (ftp://coast.cs.purdue.edu/pub/doc/
policy) para ver como lucen algunas políticas de seguridad de la vida real.
11.2.5. Formas de asegurar su sitio

Esta sección discutirá distintas formas con las cuales Usted puede asegurar las cosas por las que trabajó duro:
su máquina local, sus datos, sus usuarios, su red, e incluso su reputación ¿Qué le pasaría a su reputación si un
intruso borrase algunos de los datos de sus usuarios? ¿O le cambiase la cara a su sitio web? ¿O publicase el
plan de proyecto corporativo de su compañía para el próximo trimestre? Si está planeando una instalación en
red, hay muchos factores que debe tomar en cuenta antes de agregar la primer máquina a su red.
Incluso si tiene una única cuenta de conexión telefónica tipo PPP, o simplemente un sitio pequeño, esto no
significa que los intrusos no van a estar interesados en su sistema. Los sitios grandes, de perfil alto, no son los
únicos blancos – muchos intrusos simplemente quieren explotar tantos sitios como sea posible, sin importar
el tamaño de los mismos. Adicionalmente, ellos pueden usar un hueco de seguridad en su sistema para ganar
acceso a otros sitios con los que Usted está conectado.
Los intrusos tienen un montón de tiempo disponible, y pueden evitar adivinar como Usted ha obscurecido a
su sistema simplemente intentando todas las posibilidades. También hay un número de razones por las que
un intruso puede estar interesado en sus sistemas, las cuales discutiremos luego.
139
11.2.5.1. Seguridad del host

Tal vez el área de la seguridad sobre la cual se concentran más los administradores es la seguridad basada
en el host. Típicamente, esto incluye asegurarse de que su propio sistema sea seguro, y esperar que todos
los demás en su red hagan lo mismo. Escoger contraseñas buenas, asegurar los servicios de red locales de
su host, mantener buenos registros de contaduría, y actualizar los programas con explotaciones de seguridad
conocidas son algunas de las cosas que el administrador de seguridad de la red tiene la responsabilidad de
hacer. Aunque esto es absolutamente necesario, puede convertirse en una tarea ardua una vez que su red se
hace más grande que unas pocas máquinas.
11.2.5.2. Seguridad de la red local

La seguridad de la red es tan necesaria como la seguridad del host local. Con cientos, miles, o más computado-
ras en la misma red, Usted no puede confiar en que cada uno de esos sistemas sean seguros. Asegurar que sólo
los usuarios autorizados pueden usar su red, construir cortafuegos, usar cifrado fuerte, y asegurarse de que
no hay máquinas “bribonas” (es decir, inseguras) en su red son todas partes de las tareas del administrador
de la seguridad de la red.
Este documento discutirá algunas de las técnicas que se usan para asegurar su sitio, y con suerte, le mostrará
algunas de las formas de evitar que un intruso gane acceso a lo que Usted está intentando proteger.
11.2.5.3. La seguridad por medio de la obscuridad

Un tipo de seguridad que se debe discutir es la denominada “seguridad por medio de la obscuridad”. Esto
significa, por ejemplo, mover un servicio que tiene vulnerabilidades de seguridad conocidas a un puerto no
estándar con la esperanza de que los atacantes no se darán cuenta de que está allí y por lo tanto no lo explota-
rán. Dé por sentado que ellos pueden determinar que está allí y lo explotarán. La seguridad por medio de la
obscuridad no es seguridad alguna. El sólo hecho de que Usted pueda tener un sitio pequeño, o de un perfil
relativamente bajo, no significa que un intruso no va a estar interesado en lo que Usted tiene. Discutiremos
que es lo que Usted está protegiendo en las secciones siguientes.
11.2.6. Organización de este capı́tulo

Este capítulo ha sido dividido en una cantidad de secciones. Estas cubren varios temas amplios de la segu-
ridad. La primera, Seguridad física, página 140, cubre como necesita proteger su máquina físicamente de los
intentos de manipularla. La segunda, Seguridad local, página 145, describe como proteger su sistema de los
intentos de manipulación de los usuarios locales. La tercera, Seguridad de los archivos y del sistema de archivos,
página 147, le muestra como configurar los sistemas de archivos y los permisos sobre sus archivos. La si-
guiente, Seguridad con contraseñas y cifrado, página 152, discute como usar el cifrado para proteger mejor su
máquina y su red. Seguridad del núcleo, página 158 discute qué opciones del núcleo debería activar o conocer
para hacer a un sistema más seguro. Seguridad de la red, página 161, describe como asegurar mejor a su sistema
GNU/Linux frente a los ataques de la red. Preparación para la seguridad (antes que Usted vaya en línea), página 168,
discute como preparar su(s) máquina(s) antes de ponerlas en línea. Luego, Qué hacer durante y después de un
irrupción, página 170, discute qué hacer cuando Usted detecta que se está comprometiendo su sistema o que
se ha comprometido recientemente. En Fuentes sobre seguridad, página 172, se enumeran algunos recursos de
seguridad primarios. La sección sobre P y R, Preguntas formuladas con frecuencia (FAQ), página 174, contesta
algunas preguntas frecuentes, y finalmente en Conclusión, página 175 se da una conclusión.
Los dos puntos principales a tener en cuenta cuando se lee este capítulo son:
• manténgase enterado de lo que ocurre en su sistema. Verifique los registros del sistema como /var/log/
messages y mantenga un ojo sobre su sistema, y
• mantenga su sistema actualizado asegurándose que tiene instaladas las versiones más recientes del software
y las ha actualizado en base a las advertencias de seguridad. El sólo hecho de hacer esto ayudará a hacer a
su sistema muchísimo más seguro.
140
11.3. Seguridad fı́sica

La primer capa de seguridad que tiene que tener en cuenta es la seguridad física de sus sistemas de computa-
ción ¿Quienes tienen acceso físico directo a su máquina? ¿Deberían tenerlo? ¿Puede proteger a su máquina de
los intentos de manipulación? ¿Debería hacerlo?
La cantidad de seguridad física que necesita sobre su sistema depende mucho de su situación, y/o de su
presupuesto.
Si Usted es un usuario hogareño, probablemente no necesitará un montón (aunque podría necesitar proteger a
su máquina de la manipulación por parte de los chicos o de parientes molestos) Si Usted está en un laboratorio,
necesitará considerablemente más, pero los usuarios todavía tendrán que poder hacer sus trabajos en sus
máquinas. Muchas de las secciones siguientes le serán de ayuda. Si Usted está en una oficina, podría o no
necesitar asegurar su máquina después de hora para cuando Usted no esté allí. En algunas compañías, el
dejar su consola no asegurada es una ofensa terminal.
Los métodos de seguridad física obvios tales como candados en las puertas y cables, gabinetes cerrados con
candados, y vigilancia por vídeo son todas ideas buenas, pero están más allá del alcance de este capítulo. :-)
11.3.1. Candados de computadora

Muchos gabinetes de PC modernos incluyen una característica de “cerradura”. Usualmente esta será un zó-
calo en el frente del gabinete que le permite girar una llave incluida a una posición de trabado o destrabado.
Las cerraduras del gabinete pueden ayudar a evitar que alguien le robe su PC, o abra el gabinete y directa-
mente manipule o robe su hardware. Algunas veces, también pueden evitar que alguien vuelva a arrancar su
computadora desde su propio disquete u otro hardware.
Estas cerraduras del gabinete hacen cosas diferentes de acuerdo al soporte en la placa madre y como está
construido el gabinete. En muchas PCs las hacen de tal manera que Usted tenga que romper el gabinete para
poder abrirlo. En algunas otras, no le permitirán conectar teclados o ratones nuevos. Verifique las instrucciones
de su placa madre o gabinete para mayor información. Algunas veces, esto puede ser una característica muy
útil, incluso si las cerraduras son, por lo general, de calidad muy baja y puedan ser violadas fácilmente por
atacantes con las herramientas adecuadas.
Algunas máquinas (notablemente las SPARCs y las Mac) tienen un apéndice en la parte trasera que, si Usted
pone un cable atravesado, los atacantes tendrían que cortar el cable o romper el gabinete para poder entrar.
Simplemente poniendo un candado o una cerradura múltiple a través de estos puede ser un buen factor
disuasivo para alguien que se robe su máquina.
11.3.2. Seguridad del BIOS

El BIOS es el nivel de software más bajo que configura o manipula su hardware basado en x86 . grub y otros
métodos de arranque de GNU/Linux acceden al BIOS para determinar como arrancar su máquina GNU/Linux .
Otro hardware sobre el cual corre GNU/Linux tiene software similar (OpenFirmware en las Mac y las Sun
nuevas, Sun boot PROM, etc...) Usted puede usar su BIOS para evitar que los atacantes reinicien su máquina
y manipulen su sistema GNU/Linux .
Muchos BIOS de PC le permiten configurar una contraseña de arranque. Esto no proporciona mucha segu-
ridad (el BIOS se puede reconfigurar, o quitar si alguien puede entrar al gabinete), pero puede ser un buen
disuasivo (es decir, tomará tiempo y dejará rastros de manipulación) Similarmente, en S/Linux (GNU/Linux
para máquinas con procesadores SPARC (tm)), se puede configurar su EEPROM para que solicite una contra-
seña de arranque. Esto podría demorar a los atacantes.
Otro riesgo de confiar en las contraseñas del BIOS para hacer más seguro a su sistema es el problema de la
contraseña predeterminada. La mayoría de los fabricantes de BIOS no esperan que las personas abran sus
computadoras y desconecten las baterías si se olvidan la contraseña y han provisto a sus BIOS con contra-
señas predeterminadas que funcionan sin importar la contraseña que Usted haya elegido. Algunas de las
contraseñas más comunes incluyen:
j262 AWARD_SW AWARD_PW lkwpeter Biostar AMI Award
bios BIOS setup cmos AMI!SW1 AMI?SW1 password hewittrand shift + s y
x z
141
He probado un BIOS Award y AWARD_PW funcionó. Estas contraseñas están disponibles con bastante facilidad
en los sitios web de los fabricantes y en astalavista (http://astalavista.box.sk) y por lo tanto no se puede
considerar que la contraseña del BIOS es una protección adecuada frente a un atacante informado.
Muchos BIOS de x86 también le permitirán especificar varias otras configuraciones buenas de seguridad.
Verifique el manual de su BIOS o mírelo la próxima vez que arranque. Por ejemplo, algunos BIOS no permiten
arrancar desde la disquetera y algunos solicitan contraseñas para acceder a algunas de las características del
BIOS .
Si Usted tiene una máquina servidor, y configura una contraseña de

arranque, su máquina no arrancará sin su asistencia. Tenga presente
que necesitará allegarse a ella y proporcionar la contraseña en caso
de un corte de energı́a. ;(
11.3.3. Seguridad de OpenBoot

La PROM es el software de más bajo nivel que configura o manipula su hardware basado en SPARC. SILO
y otros métodos de arranque de GNU/Linux acceden a la PROM para determinar como arrancar su máquina
GNU/Linux . Otro hardware sobre el cual corre GNU/Linux tiene software similar (OpenFirmware en las Macs y
las Sun nuevas), el BIOS de las x86 , etc...) Usted puede utilizar su PROM para evitar que los atacantes reinicien
su máquina y manipulen su sistema GNU/Linux .
OpenBoot es mucho más avanzado que el BIOS de una PC en lo que respecta a la seguridad (consulte “Guía
de Instalación” sobre como acceder y usar a OpenBoot )
1.
Es importante configurar su contraseña antes de configurar el modo

de seguridad, ya que Usted no podrı́a configurarla más. Es más,
SUN sostiene que Usted necesita contactar con el soporte técnico a
clientes de su vendedor para hacer que su máquina pueda arrancar
otra vez.
Este es un ejemplo de interacción sobre como configurar su contraseña de arranque:1

> password
> New password (only first 8 chars are used):
> Retype new password:
>
2. Puede elegir entre tres niveles de seguridad configurando la variable security-mode:

a. Full (completa): todos los comandos, excepto go, necesitan la contraseña.
b. Command (comando): todos los comandos, excepto boot y go, necesitan la contraseña.
c. None (ninguno): no se necesita contraseña (predeterminado)
Este es un ejemplo de interacción sobre cómo configurar su modo de seguridad:
> setenv security-mode full
>
Si tiene una máquina servidor, y configura una contraseña de arran-

que, su máquina no arrancará sin su asistencia. Tenga presente que
necesitará allegarse a ella y proporcionar la contraseña en caso de
un corte de energı́a. ;(
1. Nota del traductor: No traduje el ejemplo, ya que es muy probable que Usted lo use en inglés.
142
11.3.4. Seguridad del cargador de arranque

Tenga presente que cuando configura todas estas contraseñas Usted debe recordarlas :-) También recuerde que
todas estas contraseñas sólo retrasarán al atacante con determinación. Las mismas no evitarán que alguien
arranque desde un disquete, y monte su partición raíz.
Si está usando la seguridad en conjunción con un cargador de arranque, también podría deshabilitar el arran-
que desde un disquete en el BIOS de su computadora, y proteger al BIOS con una contraseña.
También tenga presente que el archivo /etc/lilo.conf debería tener modo 600 (sólo root lo puede leer y
escribir), ¡o los demás podrán leer sus contraseñas de arranque!
Si está usando la seguridad en conjunción con un cargador de arranque, también podría proteger con una
contraseña al PROM .
Una vez más, si tiene una máquina servidor, y configura una contra-
seña de arranque, su máquina no arrancará sin su asistencia. Tenga
presente que necesitará allegarse a ella y proporcionar la contraseña
en caso de un corte de energı́a. ;(
11.3.4.1. Con GRUB

También se puede configurar una contraseña en los distintos cargadores de arranque de GNU/Linux . grub es
bastante flexible en ese sentido: su archivo de configuración predeterminado /boot/grub/menu.lst puede
contener una línea permitiendo la carga de un nuevo archivo de configuración con opciones diferentes (este
nuevo archivo puede contener una nueva contraseña para acceder a un tercer archivo de configuración y así
sucesivamente)
Entonces tiene que agregar un línea en su archivo /boot/grub/menu.lst, que se parezca a lo siguiente:
password muy_secreta
/boot/grub/menu2.lst
y, por supuesto, generar un archivo de configuración nuevo /boot/grub/menu2.lst en el cual Usted mueve
las entradas inseguras quitadas previamente de /boot/grub/menu.lst.
>De la página Info de grub:
- Comando: password contrase~
na
nuevo-archivo-de-configuración Deshabilitar todo el control de edición
interactivo (el editor de de entradas del menú y la lı́nea de
comandos). Si se ingresa la contrase~na PASSWD, el mismo carga
NEW-CONFIG-FILE como un archivo de configuración nuevo y vuelve a
arrancar a GRUB Stage 2.
11.3.4.2. Con LILO

LILO tiene las configuraciones password y restricted; password solicita una contraseña al arrancar, mientras
que restricted solicita una contraseña al arrancar sólo si Usted especifica opciones (tales como single) en el
prompt LILO.
>De la página Man de lilo.conf:
password=contrase~na
La opción por imagen ‘password=...’ (ver debajo)
se aplica a todas las imágenes.
restricted
La opción por imagen ‘restricted’ (ver debajo)
se aplica a todas las imágenes.
password=contrase~
na
Protege la imagen con una contrase~
na.
restricted
143
Sólo se solicita una contrase~

na para arrancar la imagen
si se especifican parámetros en la lı́nea de comandos
(por ej. single).
11.3.4.3. Con SILO

El cargador de arranque SILO también puede tener una contraseña: password solicita una contraseña al arran-
car, mientras que restricted solicita una contraseña al arrancar sólo si Usted especifica opciones (tales como
single) en el prompt SILO.
>De la página Man de silo.conf:
password=contrase~na
Proteje el arranque con una contrase~ na. La
contrase~
na se da de manera textual en el archivo de
configuración. Debido a esto, sólo el super-usuario
(root) deberı́a poder leer dicho archivo de
configuración, y la contrase~
na deberı́a ser lo más diferente
posible de otras contrase~nas del sistema.
restricted
Sólo se necesita una contrase~
na para arrancar la imagen
especificada en /etc/silo.conf si se especifican parámetros en
la lı́nea de comandos o si no se especifica imagen en absoluto en
el archivo de configuración (ej: carga arbitraria de archivo).
11.3.5. xlock y vlock

Si Usted se aleja de su máquina de vez en cuando, sería bueno poder “trabar” su consola de forma tal que
ninguno pueda manipular o mirar su trabajo. Dos programas que hacen esto son: xlock y vlock.
xlock es un traba pantallas para X . Usted puede ejecutar xlock desde cualquier xterm en su consola y este
trabará la pantalla y le solicitará una contraseña para destrabarla. La mayoría de los entornos de escritorio
también proponen esta característica en sus respectivos menús.
vlock es un pequeño programa simple que le permite trabar alguna o todas las consolas virtuales de su sistema
GNU/Linux . Usted puede trabar sólo aquella consola en la cual está trabajando o todas ellas. Si sólo traba una,
pueden venir otros y usar la consola; simplemente no podrán usar su consola virtual hasta que Usted no la
destrabe.
Por supuesto que trabar su consola evitará que alguien manipule su trabajo, pero no evitará que alguien
reinicie su máquina o interrumpa su trabajo de alguna otra manera. Tampoco evita que ellos accedan a su
máquina desde otra máquina en la red y causen problemas.
Más importante aún, no evita que alguien salga de X Window System por completo, y vaya a la invitación
de conexión normal de una consola virtual, o la consola virtual desde la que se inició X Window System , y la
suspenda, obteniendo por lo tanto sus privilegios. Por esta razón, debería considerar usarla sólo mientras está
bajo control de KDM (u otros)
11.3.6. Seguridad de los dispositivos locales

Si Usted tiene una webcam o un micrófono conectado a su sistema, debería considerar si hay algún peligro de
que un atacante gane acceso a dichos dispositivos. Cuando no están en uso, puede ser una opción desconectar
o quitar ese tipo de dispositivos. Si no, debería leer y observar con cuidado cualquier software que permita
acceso a tales dispositivos.
144
11.3.7. Detectando los compromisos de seguridad fı́sicos

La primer cosa a notar siempre, es cuando su máquina ha sido reiniciada. Debido a que GNU/Linux es un
sistema operativo robusto y estable, los únicos momentos en los cuales debería reiniciar su máquina es cuando
Usted la apaga para actualizaciones del sistema operativo, cambio de hardware, o cosas por el estilo. Si su
máquina ha sido reiniciada sin que Usted lo haya hecho, ese puede ser un signo de que un intruso la ha
comprometido. En muchas de las formas en las cuales su máquina puede ser comprometida es necesario que
el intruso la reinicie o la apague.
Busque signos de manipulación del gabinete y el área de la computadora. Aunque muchos intrusos borran los
rastros de su presencia de los registros, es una buena idea verificarlos a todos y notar cualquier discrepancia.
También es una buena idea almacenar los datos de los registros en una ubicación segura tal como un servidor
de registro dedicado dentro de su red bien protegida. Una vez que una máquina ha sido comprometida, los
datos del registro se vuelven poco útiles ya que lo más probable es que también hayan sido modificados por
el intruso.
El demonio syslog puede configurarse para enviar los datos de registro a un servidor syslog central auto-
máticamente, pero típicamente esto no se envía cifrado, permitiéndole a un intruso ver los datos mientras se
están transfiriendo. Esto puede revelar información sobre su red que se pretendía no sea pública. Hay demo-
nios syslog disponibles que cifran los datos mientras estos se envían.
También tenga presente que es fácil falsificar los mensajes de syslog – hay un programa que explota esto que
ha sido publicado. syslog incluso acepta entradas de registro de red que dicen que vienen del host local sin
indicar su origen verdadero.
Algunas cosas a verificar en sus registros:
• Registros cortos o incompletos.

• Registros que contienen marcas horarias (timestamps) extrañas.
• Registros con permisos o dueños incorrectos.
• Registros de reinicio o re-arranque de los servicios.
• Registros desaparecidos.
• Entradas su o conexiones desde lugares extraños.
En Mantenga registro de los datos de contabilidad de su sistema, página 169 discutiremos los datos del registro del
sistema.
11.4. Seguridad local

La próxima cosa a revisar es la seguridad de su sistema frente a los ataques de los usuarios locales. ¿Dijimos
recién usuarios locales? ¡Sí!
Obtener acceso a la cuenta de un usuario local es una de las primeras cosas que los intrusos del sistema
intentarán en su camino a explotar la cuenta de root. Con una seguridad local débil, entonces ellos pueden
“mejorar” su acceso de usuario normal a acceso de root usando una variedad de errores y configuraciones
pobres de los servicios locales. Si Usted se asegura de que su seguridad local es rígida, entonces el intruso
tendrá que saltar otro obstáculo.
Los usuarios locales también pueden causar un montón de problemas en su sistema incluso (especialmente)
si ellos realmente son quienes dicen ser. Proporcionar cuentas a gente que Usted no conoce o de los cuales no
tiene información de contacto alguna es una idea muy mala.
11.4.1. Creando cuentas nuevas

Debería asegurarse de proveer cuentas de usuario sólo con las necesidades mínimas para hacer la tarea que
dichos usuarios necesitan hacer. Si Usted le proporciona una cuenta a su hijo (de 10 años), probablemente
quisiera que él solo tenga acceso al procesador de textos o al programa de dibujo, pero que no pueda borrar
datos que no sean de él.
145
A continuación tiene varias reglas generales buenas cuando le permite a otras personas acceso legítimo a su
máquina GNU/Linux :
• Bríndeles la mínima cantidad de privilegios que ellos necesitan.

• Esté alerta de cuando y de donde se conectan, o se deberían conectar.
• Debe asegurarse de quitar las cuentas inactivas. Estas se pueden determinar utilizando el comando last
y/o verificando en los archivos de registro cualquier actividad del usuario.
• Se aconseja el uso del mismo userid en todas las computadoras y redes, para facilitar el mantenimiento de
las cuentas y permitir un análisis más fácil de los datos del registro.
• Debería prohibirse en absoluto la creación de user-ids de grupo. Las cuentas de usuario también proveen
la contabilidad, y esto no es posible con cuentas grupales.
Muchas cuentas de usuario locales que se usan cuando se compromete a la seguridad no se han usado en
meses o en años. Dado que nadie las usa, estas proporcionan el vehículo de ataque ideal.
11.4.2. Seguridad de root

La cuenta de su sistema más perseguida es la cuenta root (super-usuario) Esta cuenta tiene autoridad sobre
toda la máquina, lo cual también puede incluir autoridad sobre otras máquinas de la red. Recuerde que Usted
sólo debería usar la cuenta root para tareas específicas muy cortas, y normalmente Usted debería ejecutar
como un usuario no privilegiado. Incluso errores pequeños hechos mientras estaba conectado como el usuario
root pueden causar problemas. Mientras menos esté con privilegios de root, más seguro estará.
A continuación tiene varios trucos para evitar arruinar su propia máquina cuando la utiliza como root:
• Cuando haga algún comando complejo, primero intente correrlo de manera no destructiva... especialmente
los comandos que usan englobamiento: por ej., si Usted desea hacer rm -f pepe*.bak, primero haga ls
pepe*.bak y asegúrese de borrar los archivos que Usted cree que va a borrar. Algunas veces también sirve
usar echo en vez de comandos destructivos.
• Sólo vuélvase root para hacer tareas específicas simples. Si se encuentra intentando averiguar como hacer
algo, vuelva a un shell de usuario no privilegiado hasta estar seguro que eso debe hacerse como root.
• La ruta de comandos para el usuario root es muy importante. La ruta de comandos (es decir, la variable
de entorno PATH) especifica los directorios en los cuales el shell busca programas. Intente limitar la ruta
de comandos para el usuario root tanto como sea posible, y nunca incluya . (que significa “el directorio
corriente”) en el PATH de root. Además, nunca tenga directorios en los que se pueda escribir en su ruta de
búsqueda, ya que esto permite a los atacantes poner binarios nuevos en su ruta de búsqueda, permitiéndoles
a estos ejecutar como root la próxima vez que Usted ejecute ese comando.
• Nunca utilice el conjunto de herramientas rlogin/rsh/rexec (denominadas los “utilitarios-r”) como root.
Estos están sujetos a muchas clases de ataques, y son especialmente peligrosos cuando se ejecutan como
root. Nunca cree un archivo .rhosts para root.
• El archivo /etc/securetty contiene una lista de las terminales desde las cuales se puede conectar root.
Predeterminadamente este sólo está configurado a las consolas virtuales locales (ttys) Tenga mucho cuidado
en agregar algo más a este archivo. Usted debería poder conectarse remotamente con su cuenta de usuario
no privilegiado y luego hacer su si Usted lo necesita (con suerte sobre ssh u otro canal cifrado), por lo que
no hay necesidad de tener que poder conectarse directamente como root.
• Siempre sea lento y deliberado cuando ejecute como root. Sus acciones pueden afectar un montón de cosas
¡Piense antes de teclear!
Si necesita de forma absolutamente positiva permitirle a alguien (con suerte, alguien de mucha confianza)
tener acceso como root a su máquina, hay una cantidad de herramientas que pueden ayudar. sudo le permite
a los usuarios usar su clave para acceder como root a un conjunto de comandos limitados. Por ejemplo, esto
le permitirá dejar que un usuario pueda expulsar y montar medios removibles en su sistema GNU/Linux , pero
no tenga otros privilegios de root. sudo también mantiene un registro de todos los intentos satisfactorios y no
satisfactorios de hacer sudo, permitiéndole seguirle la pista a quienes usaron cuales comandos para hacer qué
146
cosas. Por este motivo, sudo funciona bien incluso en lugares donde varias personas tienen acceso como root,
porque le ayuda a seguirle la pista a los cambios hechos.
Aunque sudo se puede usar para dar privilegios específicos a usuarios específicos, para tareas específicas, tiene
varias contra. Sólo debería usarse para un conjunto limitado de tareas, como reiniciar un servidor, o agregar
usuarios nuevos. Cualquier programa que ofrezca un escape al shell dará acceso de root a un usuario que
lo invoque a través de sudo. Por ejemplo, esto incluye a la mayoría de los editores. También, un programa tan
inocuo como /bin/cat se puede usar para sobreescribir archivos, lo cual permitiría explotar a root. Considere
a sudo como un medio para la contabilidad, y no espere que reemplace al usuario root y todavía sea seguro.
11.5. Seguridad de los archivos y del sistema de archivos

Algunos minutos de preparación y planificación antes de poner a sus sistemas en línea puede ayudar a prote-
gerlos así como también a los datos que dichos sistemas almacenan.
• No debería haber razón alguna para que los directorios personales de los usuarios permitan que se ejecuten
programas SUID/SGID desde los mismos. Use la opción nosuid en /etc/fstab para las particiones en las
que pueda escribir otro que no sea root. También puede querer usar nodev y noexec en las particiones de
los directorios personales de los usuarios, así como también /var, prohibiendo de esta forma la ejecución de
programas, y la creación de dispositivos de bloque o caracter, los cuales, de todas formas, nunca deberían
ser necesarios.
• Si está exportando sistemas de archivos usando NFS, debe asegurarse de configurar /etc/exports con el
acceso lo más restrictivo posible, Esto significa no usar comodines, no permitir acceso de escritura como
root, y exportar como sólo de lectura siempre que se pueda.
• Configure la umask de creación de archivos de sus usuarios para ser lo más restrictiva posible. Consulte
Configuraciones de la umask, página 148.
• Si está montando sistemas de archivos usando un sistema de archivos de red tal como NFS, debe asegurarse
de configurar /etc/exports con restricciones adecuadas. Típicamente, es deseable el uso de nodev, nosuid,
y tal vez noexec.
• Configure los límites del sistema de archivos en vez de permitir que unlimited sea la configuración prede-
terminada. Usted puede controlar los límites por usuario usando el módulo PAM de limitador de recursos y
/etc/pam.d/limits.conf. Por ejemplo, los límites para el grupo usuarios podrían parecerse a los siguien-
tes:
@users hard core 0
@users hard nproc 50
@users hard rss 5000
Esto dice de prohibir la creación de archivos core, restringir la cantidad de procesos a 50, y restringir el uso
de memoria por usuario a 5MB.
También puede utilizar el archivo de configuración /etc/login.defs para ajustar los mismos límites.
• Los archivos /var/log/wtmp y /var/run/utmp contienen los registros de conexión para todos los usuarios
en su sistema. Se debe mantener su integridad porque ellos pueden usarse para determinar cuando y des-
de donde ha entrado a su sistema un usuario (o intruso potencial) Estos archivos también deberían tener
permisos 644, sin afectar la operación normal del sistema.
• Se puede utilizar el bit de inmutable para evitar el borrado o la sobre-escritura accidental de un archivo que
se debe proteger. También evita que alguien cree un vínculo simbólico al archivo (tales vínculos simbólicos
han sido la fuente de ataques que incluían borrar /etc/passwd o /etc/shadow) Vea la página Man de chattr
para más información sobre el bit inmutable.
• Los archivos suid y SGID en su sistema son un riesgo de seguridad potencial, y deberían ser monitoreados
de cerca. Debido a que estos programas garantizan privilegios especiales al usuario que los está ejecutando,
es necesario asegurarse que no se instalan programas inseguros. Un truco favorito de los crackers es explotar
los programas SUID-root, luego dejar un programa SUID como la puerta trasera para ingresar la próxima
vez, incluso si el hueco original está cerrado.
147
Encuentre todos los programas SUID/SGID en su sistema, y mantenga un registro de cuales son, para
estar alerta de cualquier cambio que pudiera indicar a un intruso potencial. Use el comando siguiente para
encontrar todos los programas SUID/SGID en su sistema:
root# find / -type f $ -perm -04000 -o -perm -02000 $
Puede quitar los permisos suid o SGID de un programa sospechoso con chmod, y luego restaurarlos si Usted
siente que esto es absolutamente necesario.
• Los archivos que pueden escribir todo el mundo, particularmente los archivos del sistema, pueden ser un
hueco de seguridad si un cracker gana acceso a su sistema y los modifica. Adicionalmente, los directorios
que pueden escribir todo el mundo son peligrosos, ya que estos permiten a un cracker agregar y borrar
archivos a su gusto. Para localizar a todos los archivos que pueden escribir todo el mundo en su sistema,
use el comando siguiente:
root# find / -perm -2 ! -type l -ls
y asegúrese de saber por qué estos archivos se pueden escribir. En el curso normal de operación, varios
archivos se podrán escribir por todo el mundo, incluyendo algunos de /dev, y vínculos simbólicos, es por
esto el ! -type l lo que excluye estos del comando find previo.
• Los archivos sin dueño también pueden ser una indicación de que un intruso ha accedido a su sistema.
Puede ubicar los archivos de su sistema que no tienen dueño, o que no pertenecen a grupo alguno con el
comando:
root# find / -nouser -o -nogroup -print
• Encontrar los archivos .rhosts debería ser una parte de sus tareas regulares de administración del sistema,
debido a que no deberían permitirse dichos archivos en su sistema. Recuerde, un cracker, sólo necesita
una cuenta insegura para ganar acceso potencial a toda su red. Usted puede localizar a todos los archivos
.rhosts en su sistema con el comando siguiente:
root# find /home -name .rhosts -print
• Finalmente, antes de cambiar los permisos sobre cualquier archivo de sistema, debe asegurarse de entender
lo que está haciendo. Nunca cambie los permisos sobre un archivo porque esto parece la forma fácil de hacer
que funcionen las cosas. Siempre determine por qué el archivo tiene esos permisos antes de cambiarlos.
11.5.1. Configuraciones de la umask

El comando umask se puede usar para determinar el modo de creación de archivo predeterminado en su
sistema. Este es el complemento octal del modo de archivo deseado. Si los archivos se crean sin importar las
configuraciones de sus permisos, el usuario puede, sin advertirlo, dar permiso de lectura o escritura a alguien
que no debería tener estos permisos. Típicamente, las configuraciones de umask incluyen a 022, 027, y 077 (que
es la más restrictiva). Normalmente la umask se configura en el archivo /etc/profile, por lo que este aplica a
todos los usuarios del sistema. La máscara de creación de archivo se puede calcular restando el valor deseado
de 777. En otras palabras, una umask de 777 causaría que los archivos nuevos creados no contengan permisos
de lectura, escritura o ejecución para cualquiera. Una umask de 666 causaría que los archivos nuevos creados
tengan una máscara de 111. Por ejemplo, Usted puede tener una línea que se parezca a la siguiente:
# Set the user’s default umask

umask 033
Asegúrese de hacer la umask de root 077, lo cual deshabilitará los permisos de lectura, escritura y ejecución
para los otros usuarios, a menos que se cambien explícitamente usando chmod. En este caso, los directorios
148
nuevos creados tendrían permisos 744, obtenidos de restar 033 de 777. Los archivos nuevos creados usando la
umask 033 tendrían permisos 644.
En Mandrake Linux, sólo es necesario usar 002 para un umask.

Esto se debe al hecho que la configuración predeterminada es un
usuario por grupo.
11.5.2. Permisos sobre los archivos

Es importante asegurar que los archivos de su sistema no son abiertos para edición casual por usuarios y
grupos que no deberían estar haciendo tal mantenimiento del sistema.
UNIX separa el control de acceso sobre los archivos y directorios de acuerdo a tres características: dueño, grupo,
y otros. Siempre hay exactamente un dueño, cualquier número de miembros del grupo, y todos los demás.
Una explicación rápida sobre los permisos de UNIX :
Propiedad – Cuál(es) usuario(s) y grupo(s) retiene(n) control de la configuración de los permisos del nodo y
el padre del nodo
Permisos – Bits que se pueden activar o desactivar para permitir ciertos tipos de acceso al mismo. Los permisos
sobre los directorios pueden tener un significado ligeramente distinto que el mismo conjunto de permisos
sobre los archivos.
Lectura:
• Poder ver el contenido de un archivo

• Poder leer un directorio
Escritura:
• Poder agregar contenido o cambiar un archivo

• Poder borrar o mover archivos en un directorio
Ejecución:
• Poder correr un programa binario o un script del shell

• Poder buscar en un directorio, combinado con el permiso de lectura
Guardar atributo de texto: (Para los directorios)

El “bit pegajoso” también tiene un significado diferente cuando se aplica a los directorios que cuando se
aplica a los archivos. Si el bit pegajoso se activa sobre un directorio, entonces un usuario sólo puede borrar
archivos que él posee o para los cuales él tiene garantizado explícitamente el permiso de escritura, incluso
cuando él tiene acceso de escritura al directorio. Esto está diseñado para directorios como /tmp, donde
cualquiera puede escribir, pero donde no sería deseable permitir a cualquier usuario borrar los archivos
a su gusto. El bit pegajoso se ve como una t en un listado largo de directorio.
Atributo suid : (Para los archivos)

Este describe a los permisos set user id (activar id del usuario) sobre el archivo. Cuando se configura el mo-
do de acceso set-user-id en los permisos del dueño, y el archivo es ejecutable, los procesos que lo corren
tienen garantizado el acceso a los recursos del sistema basados en el usuario que es propietario del archi-
vo, en vez de el usuario que creó el proceso. Esta es la causa de muchas explotaciones de “desbordamiento
de buffer”.
149
Atributo SGID: (Para los archivos)

Si está activo en los permisos del grupo, este bit controla el estado set group id (activar id del grupo) de
un archivo. Esto se comporta de la misma manera que suid , excepto que en vez del usuario se afecta al
grupo. El archivo debe ser ejecutable para que esto tenga efecto alguno.
Atributo SGID: (Para los directorios)

Si activa el bit SGID en un directorio (con chmod g+s directorio), los archivos creados en dicho directo-
rio tendrán su grupo configurado como el grupo dueño del directorio.
Usted – El dueño del archivo

Grupo – El grupo al cual pertenece
Todos – Cualquiera en el sistema que no es el dueño ni miembro del grupo dueño
Ejemplo de archivo:
-rw-r--r-- 1 reina usuarios 114 Ago 28 1997 .zlogin

1er bit - ¿directorio? (no)
2do bit - ¿lectura por due~no? (sı́, por reina)
3er bit - ¿escritura por due~no? (sı́, por reina)
4to bit - ¿ejecución por due~
no? (no)
5to bit - ¿lectura por grupo? (sı́, por usuarios)
6to bit - ¿escritura por grupo? (no)
7mo bit - ¿ejecución por grupo? (no)
8vo bit - ¿lectura por todos? (sı́, por todos)
9no bit - ¿escritura por todos? (no)
10mo bit - ¿ejecución por todos? (no)
Las líneas siguientes son ejemplos de los conjuntos mínimos de permisos que se necesitan para realizar el
acceso descripto. Usted puede querer dar más permisos que los que se listan aquí, pero esto debería describir
qué es lo que hacen estos permisos mínimos sobre los archivos:
-r-------- Permite acceso de lectura al archivo por el due~ no
--w------- Permite al due~ no modificar o borrar el archivo (Note que cualquiera con permiso de escritura en el di-
rectorio en el cual se encuentra el archivo lo puede sobreescribir y borrarlo)
---x------ El due~ no puede ejecutar este programa, pero no scripts del shell que todavı́a necesitan permisos de lectura
---s------ Ejecutará con ID de Usuario efectivo = al due~no
--------s- Ejecutará con ID de Grupo efectiva = al grupo
-rw------T No se actualiza la "última hora de modificación". Generalmente usado para los archivos de swap .
---t------ Sin efecto. (Antes era el bit pegajoso)
Ejemplo de directorio:
drwxr-xr-x 3 reina ususarios 512 Sep 19 13:47 .public_html/
1er bit - ¿directorio? (sı́, contiene muchos archivos)
2do bit - ¿lectura por due~no? (sı́, por reina)
3er bit - ¿escritura por due~ no? (sı́, por reina)
4to bit - ¿ejecución por due~no? (sı́, por reina)
5to bit - ¿lectura por grupo? (sı́, por usuarios)
6to bit - ¿escritura por grupo? (no)
7mo bit - ¿ejecución por grupo? (sı́, por usuarios)
8vo bit - ¿lectura por todos? (sı́, por todos)
9no bit - ¿escritura por todos? (no)
10mo bit - ¿ejecución por todos? (sı́, por todos)
Las líneas siguientes son ejemplos de los conjuntos mínimos de permisos que se necesitan para realizar el
acceso descripto. Usted puede querer dar más permisos que los que se listan, pero esto debería describir qué
es lo que hacen estos permisos mínimos sobre los directorios:
dr-------- Se puede listar el contenido, pero no se pueden leer los atributos de los archivos
150
d--x------ Se puede ingresar al directorio, y usarse en rutas de ejecución completas

dr-x------ El due~
no puede leer los atributos de los archivos
d-wx------ Se pueden crear/borrar archivos, incluso si el directorio no es el directorio corriente
d------x-t Evita que otros borren los archivos con acceso de escritura. Se usa en /tmp
d---s--s-- Sin efecto
Los archivos de configuración del sistema (usualmente en /etc) por lo general tienen modo 640 (-rw-r---
--), y su dueño es root. Dependiendo de los requisitos de seguridad de su sitio, Usted podría ajustar esto.
Nunca deje que un grupo o cualquiera pueda escribir algún archivo del sistema. Sólo root debería poder leer
algunos archivos de configuración, incluyendo /etc/shadow, y los directorios en /etc al menos no deberían
ser accesibles por otros.
Scripts suid del shell

Los scripts suid del shell son un riesgo de seguridad serio, y por esta razón el núcleo no los honrará.
Sin importar cuan seguro piense que es el script del shell , este puede ser explotado para dar a un cracker
un shell de root.
11.5.3. Verificación de integridad

Otra manera muy buena de detectar ataques locales (y también de la red) en su sistema es correr un verifi-
cador de integridad como Tripwire , Aide u Osiris . Estos verificadores de integridad corren verificaciones
numéricas sobre todos sus binarios y archivos de configuración importantes y los comparan contra una base
de datos de valores previos de referencia bien conocidos. De esta forma, se marcará cualquier cambio en los
archivos.
Es una buena idea instalar este tipo de programas en un disquete, y luego activar físicamente la protección
contra escritura del disquete. De esta forma, los intrusos no pueden manipular al verificador de integridad en
sí mismo o cambiar la base de datos. Una vez que tiene algo de esto configurado, es una buena idea correrlo
como parte de sus tareas normales de administración de seguridad para ver si cambió algo.
Incluso puede agregar una entrada crontab para correr el verificador desde su disquetera cada noche y en-
viarle a Usted los resultados por correo en la mañana. Algo como:
# configurar mailto
MAILTO=reina
# run Tripwire
15 05 * * * root /usr/local/adm/tcheck/tripwire
le enviará un reporte por correo electrónico cada mañana a las 5:15 hs.
Los verificadores de integridad pueden ser un regalo divino para detectar a los intrusos antes de que Usted
se de cuenta de que están. Debido a que, en el sistema promedio, cambian un montón de archivos, tiene que
tener cuidado para poder diferenciar entre la actividad del cracker y la suya propia.
Puede encontrar la versión sin soporte disponible libremente, de Tripwire en TripWire (http://www.
tripwire.org) sin cargo. Se pueden comprar los manuales y soporte.
Aide se puede encontrar en el sitio web de Aide (http://www.cs.tut.fi/~rammer/aide.html).
Osiris se puede encontrar en el sitio web de Osiris (http://osiris.shmoo.com/).
151
11.5.4. Caballos de Troya

Los “Caballos de Troya” o “Troyanos” se denominan así por la legendaria estrategia en la “Ilíada” de Homero.
La idea es que un cracker distribuye un programa o binario que parece fantástico, y alienta a otras personas
a que lo bajen y lo corran como root. Luego, el programa puede comprometer sus sistemas mientras ellos no
están prestando atención. Mientras ellos creen que el binario que acaban de bajar hace una cosa (y es muy
probable que realmente la haga, y muy bien), también compromete su seguridad.
Usted debería tener cuidado de cuales programas instala en su máquina. MandrakeSoft provee sumas verifi-
cadoras MD5 y firmas PGP de sus archivos RPM para que Usted pueda verificar que está instalando la cosa
verdadera. ¡Nunca debería correr cualquier binario que no le es familiar, del cual Usted no tiene el código
fuente, como root! Pocos atacantes están dispuestos a liberar el código fuente para el escrutinio público.
Aunque puede ser complejo, asegúrese que Usted está obteniendo el código fuente de un programa de su
sitio de distribución real. Si se va a correr el programa como root, asegúrese de que Usted o alguien de su
confianza haya visto y verificado el código fuente.
11.6. Seguridad con contraseñas y cifrado
Muchos de los programas de cifrado descriptos en este capı́tulo

están disponibles en su distribución Mandrake Linux.
Una de las características de seguridad más importantes en uso hoy día son las contraseñas. Es importante que
tanto Usted como sus usuarios tengan contraseñas seguras, imposibles de adivinar. Su distribución Mandrake
Linux incluye al programa passwd que no le permite configurar una contraseña fácil de adivinar. Asegúrese
que su programa passwd está actualizado.
La discusión a fondo del cifrado está más allá del alcance de este capítulo, pero aquí se da una introducción.
El cifrado es muy útil, posiblemente incluso hasta necesario en este tiempo y época. Hay todo tipo de métodos
para cifrar los datos, cada uno con su conjunto de características propio.
Primariamente, la mayoría de los sistemas UNIX (y GNU/Linux no es una excepción) usan un algoritmo de
cifrado de una vía, denominado DES (Data Encryption Standard, Estándar de cifrado de datos) para cifrar sus
contraseñas. Luego, esta contraseña cifrada se almacena en /etc/shadow. Cuando Usted intenta conectarse,
la contraseña que ingresa se vuelve a cifrar y se compara con la entrada en el archivo que almacena sus
contraseñas. Si estas coinciden, debe ser la misma contraseña, y se le permite el acceso. Aunque DES es un
algoritmo de cifrado de dos vías (dadas las claves adecuadas, Usted puede codificar y luego decodificar un
mensaje), la variante que usan la mayoría de los sistemas UNIX es de una vía. Esto significa que no debería ser
posible invertir el cifrado para obtener la contraseña a partir del contenido de /etc/shadow.
Los ataques de fuerza bruta, tales como “Crack” o “John the Ripper” (consulte “Crack” y “John the Ripper”,
página 156) por lo general pueden adivinar las contraseñas a menos que su contraseña sea lo suficientemente
aleatoria. Los módulos PAM (ver abajo) le permiten usar una rutina de cifrado diferente para sus contraseñas
(MD5 o similares) Usted también puede usar Crack para su provecho. Considere correr Crack periódicamente
sobre su propia base de datos de contraseñas para encontrar contraseñas inseguras. Luego contacte al usuario
que tenga una de estas contraseñas, y dígale que la cambie.
Puede dirigirse a CERN (http://consult.cern.ch/writeup/security/security_3.html) para información
(en inglés) sobre como elegir una contraseña buena.
11.6.1. PGP y criptografı́a de clave pública

La criptografía de clave pública, como la que usa PGP, usa una clave para el cifrado, y otra clave para el
descifrado. Sin embargo, la criptografía tradicional, usa la misma clave para el cifrado como para el descifrado;
ambas partes deben conocer esta clave, y por lo tanto la misma debe ser transferida de alguna manera de uno
a otro de forma segura.
Para aliviar la necesidad de transmitir de forma segura la clave de cifrado, la criptografía de clave pública usa
dos claves separadas: una clave pública y una clave privada. La clave pública de cada persona está disponible
para que cualquiera haga el cifrado, mientras que al mismo tiempo cada persona mantiene su clave privada
para descifrar los mensajes cifrados con la clave pública correcta.
152
Hay varias ventajas tanto para la criptografía de clave pública como para la de clave privada, y puede leer
acerca de las mismas y sus diferencias en las preguntas formuladas frecuentemente sobre criptografía de RSA
(http://www.rsasecurity.com/rsalabs/faq/), (en inglés) listadas al final de esta sección.
PGP (Pretty Good Privacy, Privacidad bastante buena) está bien soportado en GNU/Linux . Se sabe que las ver-
siones 2.6.2 y 5.0 funcionan bien. Para un buen compendio sobre PGP y como usarlo, eche un vistazo a las
preguntas formuladas frecuentemente sobre PGP en faqs.org (http://www.faqs.org/faqs/pgp-faq/) (en in-
glés)
Debe asegurarse de usar la versión que se aplica a su país. Debido a las restricciones de exportación del
Gobierno de Estados Unidos, está prohibida la transferencia electrónica de cifrado fuerte fuera del país.
Los controles de exportación de EE.UU. ahora están administrados por EAR (Export Administration Regulations,
Regulaciones de la Administración de exportaciones) Ya no están gobernadas por ITAR.
También hay una guía paso a paso para configurar PGP en GNU/Linux disponible en LinuxFocus (http:
//mercury.chem.pitt.edu/~angel/LinuxFocus/English/November1997/article7.html). Fue escrita para
la versión internacional de PGP , pero es fácilmente adaptable a la versión para Estados Unidos. Puede ser
que Usted también necesite un parche para algunas de las últimas versiones de GNU/Linux ; el mismo está
disponible en MetaLab (ftp://metalab.unc.edu/pub/Linux/apps/crypto).
Hay un proyecto que está manteniendo una re-implementación libre de PGP con código abierto. GnuPG es un
reemplazo completo y libre para PGP . Debido a que no utiliza IDEA o RSA se puede utilizar sin restricción
alguna. GnuPG cumple con OpenPGP (http://www.faqs.org/rfcs/rfc2440.html). Consulte la página web
de GNU Privacy Guard (http://www.gnupg.org) para más información.
Se puede encontrar más información sobre criptografía en las preguntas formuladas frecuentemente sobre
criptografía de RSA (http://www.rsasecurity.com/rsalabs/faq/). Allí encontrará información sobre tér-
minos tales como “Diffie-Hellman”, “criptografía de clave pública”, “certificados digitales”, etc.
11.6.2. SSL, S-HTTP y S/MIME

Con frecuencia los usuarios preguntan sobre las diferencias entre los distintos protocolos de seguridad y ci-
frado, y como usarlos. A pesar de que este no es un documento sobre cifrado, es una buena idea explicar
brevemente en que consiste cada protocolo, y donde encontrar más información.
• SSL: - SSL, o Secure Sockets Layer (Capa de sockets segura), es un método de cifrado desarrollado por
Netscape para proporcionar seguridad en Internet. Soporta varios protocolos de cifrado diferentes, y pro-
vee autenticación de cliente y servidor. SSL opera en la capa de transporte, crea un canal seguro de da-
tos cifrados, y por lo tanto puede cifrar datos de muchos tipos de manera transparente. Esto se ve más
comúnmente cuando se va a un sitio seguro para ver un documento seguro en-línea con Communica-
tor , y sirve como la base para las comunicaciones seguras con Communicator , así como también co-
mo muchos otros cifrados de datos de Netscape Communications. Se puede encontrar más información
en OpenSSL.org (http://www.openssl.org) (en inglés) Un buen punto de partida para información so-
bre otras implementaciones de seguridad de Netscape y estos protocolos está disponible en Netscape
(http://home.netscape.com/info/security-doc.html). También vale la pena notar que el protocolo SSL
se puede utilizar para pasar muchos otros protocolos comunes, “envolviéndolos” para brindar seguridad.
Consulte el sitio web Quiltaholic (http://www.quiltaholic.com/rickk/sslwrap/)
• S-HTTP: - S-HTTP es otro protocolo que proporciona servicios de seguridad a través de Internet. Fue diseña-
do para proporcionar confidencialidad, autenticación, integridad, y no repudio [uno no puede ser tomado
por cualquier otra persona] a la vez que soporta mecanismos de administración de claves y algoritmos
criptográficos múltiples por medio de la negociación de opciones entre las partes involucradas en cada
transacción. S-HTTP está limitado al software específico que está implementándolo, y cifra cada mensaje
individualmente. [ De las preguntas formuladas frecuentemente sobre criptografía de RSA, página 138]
• S/MIME: - S/MIME, o Secure Multipurpose Internet Mail Extensions (Extensiones multipropósito de correo de
Internet seguras), es un estándar de cifrado usado para cifrar el correo electrónico y otros tipos de mensajes
en Internet. Es un estándar abierto desarrollado por RSA, por lo que es muy probable que lo veamos pronto
en GNU/Linux uno de estos días. Se puede encontrar más información sobre S/MIME en RFC2311 (http:
//www.ietf.org/rfc/rfc2311.txt).
153
11.6.3. Implementaciones de IPSEC

Junto con CIPE, y otras formas de cifrado de datos, también hay varias otras implementaciones de IPSEC
para GNU/Linux . IPSEC es un esfuerzo del grupo IETF para crear comunicaciones criptográficamente segu-
ras al nivel de red IP, y brindar autenticación, integridad, control de acceso, y confidencialidad. Se puede
encontrar información sobre IPSEC y el borrador Internet en IETF (http://www.ietf.org/html.charters/
ipsec-charter.html). También puede encontrar vínculos a otros protocolos en los que participe la adminis-
tración de claves, y una lista de distribución y archivos sobre IPSEC.
La implementación del x-kernel (núcleo-x) de GNU/Linux , que está siendo desarrollada en la Universidad de
Arizona, usa una estructura basada en objetos para implementar protocolos de red denominados x-kernel, y
se puede encontrar en Universidad de Arizona (http://www.cs.arizona.edu/xkernel/hpcc-blue/linux.
html). Muy simplemente, el x-kernel es un método de pasar mensajes al nivel del núcleo, lo cual hace que la
implementación sea más fácil.
Otra implementación de IPSEC disponible libremente es el GNU/Linux FreeS/WAN IPSEC. La página web
de este dice que, “Estos servicios le permiten construir túneles seguros a través de redes desconfiadas. Cada
pasada a través de la red desconfiada es cifrada por el portal IPSEC y descifrada por el portal del otro lado.
El resultado es una Red Privada Virtual o VPN2. Esta es una red que es efectivamente privada incluso cuando
incluye máquinas en varios sitios diferentes conectadas por la insegura Internet.”
Está disponible para bajarla libremente del sitio web de FreeS/WAN (http://www.xs4all.nl/~freeswan/).
Al igual que con otras formas de criptografía, no está distribuida con el núcleo predeterminadamente debido
a las restricciones de exportación.
11.6.4. ssh (Secure SHell) y stelnet

ssh y stelnet son conjuntos de programas que le permiten conectarse a sistemas remotos y tener una conexión
cifrada.
openssh es un conjunto de programas que se usan como reemplazos seguros de rlogin, rsh y rcp. Usa crip-
tografía de clave pública para cifrar las comunicaciones entre dos hosts, así como también para autenticar
usuarios. Se puede usar para conectarse seguramente a un host remoto o para copiar datos entre hosts, a la
vez que previene los ataques del hombre-del-medio (secuestro de sesión) y engaños de DNS. Realizará com-
presión de datos sobre sus conexiones, y comunicaciones X11 seguras entre los hosts.
Ahora hay varias implementaciones de SSH. La implementación comercial original de Data Fellows se puede
encontrar en la página web de SSH de DataFellows (http://www.datafellows.com).
La excelente implementación Openssh está basada en una versión temprana de ssh de DataFellows y ha
sido re-trabajada totalmente para no incluir parte alguna que esté patentada o sea propietaria. Es libre y está
disponible bajo una licencia BSD. Se puede encontrar en: el sitio web de OpenSSH (http://www.openssh.com).
También hay un proyecto de código abierto para volver a implementar ssh desde cero denominado “psst...”.
Para mayor información consulte la página web de psst... (http://www.net.lut.ac.uk/psst/).
También puede utilizar ssh desde su estación de trabajo Windows o su servidor GNU/Linux . Hay varias imple-
mentaciones cliente Windows disponibles libremente, incluyendo a PuTTY (http://www.chiark.greenend.
org.uk/~sgtatham/putty/) y la que se encuentra en therapy ssh (http://guardian.htu.tuwien.ac.at/
therapy/ssh/) así como también una implementación comercial de DataFellows, en el sitio web de Data-
Fellows (http://www.datafellows.com).
SSLeay (antiguo, vea OpenSSL debajo) es una implementación libre de las Capas de socket seguras (SSL) de
Netscape, desarrollado por Eric Young. Incluye varias aplicaciones tales como un “telnet seguro”, un módulo
para Apache , varias bases de datos, así como también varios algoritmos que incluyen a DES, IDEA y “Blow-
fish”.
Ha sido creado un reemplazo seguro de telnet usando esta biblioteca que realiza cifrado sobre una co-
nexión telnet. A diferencia de SSH, stelnet usa SSL, el protocolo de capa de socket segura desarrolla-
do por Netscape. Usted puede encontrar Secure telnet y Secure FTP comenzando con las preguntas
formuladas frecuentemente sobre SSLeay , disponibles en http://www.psy.uq.oz.au/~ftp/Crypto/ (http:
//www.psy.uq.oz.au/~ftp/Crypto/).
2. De las siglas en inglés de Virtual Private Network
154
El proyecto OpenSSL está basado en SSLeay y es su intención

desarrollar un conjunto de herramientas robustas, de calidad co-
mercial, con todas las funciones, y de código abierto que imple-
menta los protocolos de Capa de Sockets Segura (SSL v2/v3) y
el Transport Layer Security (Seguridad en la capa de transporte)
(TLS v1) ası́ como también una biblioteca de criptografı́a fuer-
te de propósito general. Para más información sobre este proyec-
to, consulte la página web del mismo en http://www.openssl.org
(http://www.openssl.org). Hay una lista larga de aplicaciones
basadas en OpenSSL en el sitio web de OpenSSL (http://www.
openssl.org/related/apps.html).
SRP es otra implementación segura de telnet/ftp. De la página web de la misma:

“El proyecto SRP está desarrollando software de Internet seguro para el uso libre en todo el mundo. Comen-
zando con una distribución completamente segura de Telnet y FTP , anhelamos suplantar los sistemas débiles
de autenticación de red con reemplazos sólidos que no sacrifiquen la amigabilidad con el usuario en pos de la
seguridad. ¡La seguridad debería ser lo predeterminado, no una opción!”
Para mayor información consulte stanford.edu (http://www-cs-students.stanford.edu/~tjw/srp/).
11.6.5. PAM - Módulos de autenticación enchufables

La versión de su distribución Mandrake Linux contiene un esquema de autenticación unificado denominado
PAM. PAM le permite cambiar sus métodos y necesidades de autenticación sobre la marcha, y encapsular
todos los métodos de autenticación local sin necesidad de volver a compilar sus binarios. La configuración
de PAM está fuera del alcance de este capítulo, pero asegúrese de echar un vistazo al sitio web de PAM
(http://www.kernel.org/pub/linux/libs/pam/index.html) para más información.
Sólo algunas de las cosas que puede hacer con PAM:
• Usar un cifrado que no sea DES para sus contraseñas. (Haciendo que estas sean más difíciles de descifrar
por medio de la fuerza bruta)
• Configurar límites de recursos para todos sus usuarios para que no puedan realizar ataques de negación de
servicio (número de procesos, cantidad de memoria, etc.)
• Habilitar las contraseñas shadow (ver debajo) sobre la marcha
• Permitir que usuarios específicos sólo se conecten a determinadas horas desde lugares determinados
A las pocas horas de instalar y configurar su sistema, Usted puede prevenir muchos ataques incluso antes de
que estos ocurran. Por ejemplo, use PAM para deshabilitar el uso de archivos .rhosts en el directorio personal
de los usuarios para todo el sistema agregando estas líneas en /etc/pam.d/rlogin:
#
# Deshabilitar rsh/rlogin/rexec para los usuarios
#
login auth required pam_rhosts_auth.so no_rhosts
11.6.6. Encapsulado criptográfico de IP (CIPE)

El objetivo primario de este software es proporcionar una herramienta para interconexión segura de sub-redes
(contra escuchas furtivas, incluyendo análisis del tráfico, e inyección de mensajes falsificados) a través de una
red de paquetes insegura como Internet.
CIPE cifra los datos al nivel de la red. Los paquetes que viajan entre los hosts de la red están cifrados. El motor
de cifrado se ubica cerca del controlador que envía y recibe paquetes.
Esto no es como SSH, el cual cifra los datos por conexión, al nivel del socket. Una conexión lógica entre
programas que están corriendo en hosts diferentes está cifrada.
155
CIPE se puede usar en tunnelling, para poder crear una Red Privada Virtual. El cifrado de bajo nivel tiene la
ventaja que se puede hacer que funcione de manera transparente entre las dos redes conectadas en la RPV, sin
cambio alguno al software de aplicación.
Resumido a partir de la documentación de CIPE:
Los estándares de IPSEC definen un conjunto de protocolos que pueden usarse (entre otras cosas) para cons-
truir VPNs (redes privadas virtuales) cifradas. Sin embargo, IPSEC es un conjunto de protocolos relativamente
pesado y complicado con un montón de opciones, las implementaciones del conjunto completo de protocolos
todavía son poco utilizadas y algunos temas (tal como la administración de claves) todavía no están resueltos
por completo. CIPE usa un alcance más sencillo, en el cual muchas cosas que se pueden parametrizar (tal
como la elección del algoritmo de cifrado usado realmente) son una opción fija elegida en el momento de
instalación. Esto limita la flexibilidad, pero permite una implementación simple (y por lo tanto eficiente, fácil
de depurar...)
Se puede encontrar más información en http://sites.inka.de/sites/bigred/devel/cipe.html (http://sites.
inka.de/sites/bigred/devel/cipe.html)
Al igual que otras formas de criptografía, no se distribuye predeterminadamente con el núcleo debido a res-
tricciones de exportación.
11.6.7. Kerberos
Kerberos es un sistema de autenticación desarrollado por el Athena Project en el MIT. Cuando un usuario
se conecta, Kerberos autentica a dicho usuario (usando una contraseña), y brinda al usuario una forma de
probar su identidad frente a otros servidores y host diseminados por toda la red.
Luego, esta autenticación es usada por programas tales como rlogin para permitirle al usuario conectarse a
otros hosts sin una contraseña (en lugar del archivo .rhosts). Este método de autenticación también se puede
usar por el sistema de correo para garantizar que el correo se entrega a la persona correcta, así como también
para garantizar que el remitente es quien dice ser.
Kerberos y los otros programas con los que viene, evitan que los usuarios “engañen” al sistema haciéndole
creer que ellos son otra persona. Desafortunadamente, la instalación de Kerberos es muy intrusiva, siendo
necesaria la modificación o el reemplazo de numerosos programas estándar.
Puede encontrar más información sobre Kerberos mirando en las FAQ sobre Kerberos (http://www.faqs.
org/faqs/kerberos-faq/general/), y el código se puede encontrar en el sitio web del MIT (http://web.
mit.edu/kerberos/www/).
[De: Stein, Jennifer G., Clifford Neuman, y Jeffrey L. Schiller. "Kerberos: Un servicio de autenticación para
sistemas de red abiertos." Conferencia USENIX, Dallas, Texas, Invierno 1998.]
Kerberos no debería ser su primer paso en mejorar la seguridad de su host. Es bastante complejo, y no tan
ampliamente usado como, digamos, SSH.
11.6.8. “Crack” y “John the Ripper”

Si por alguna razón su programa passwd no está forzando contraseñas difíciles de adivinar, Usted podría
querer ejecutar un programa verificador de contraseñas y asegurarse de que las contraseñas de sus usuarios
son seguras.
Los programas para descubrir contraseñas trabajan sobre una idea simple: prueban cada palabra del dicciona-
rio, y luego variaciones sobre dichas palabras, cifrando cada una y verificándola contra su contraseña cifrada.
Si obtienen coincidencia, entonces saben cual es su contraseña.
Hay unos cuantos programas allí afuera...de los cuales, los dos más notables son Crack y John the Ripper
(Vea OpenWall (http://www.openwall.com/john/)) . Ellos tomarán un montón de tiempo de su CPU, pero
Usted debería poder decir si un atacante puede ingresar usándolos por el sólo hecho de correrlos Usted pri-
mero y notificar a los usuarios con contraseñas débiles. Note que el atacante primero tendría que usar algún
otro hueco para leer su archivo /etc/shadow, pero dichos huecos son más comunes de lo que Usted pudiera
pensar.
Debido a que la seguridad sólo es tan fuerte como el host más inseguro, vale la pena mencionar que si Usted
tiene cualquier máquina Windows en su red, debería tener presente a L0phtCrack , una implementación de
156
Crack para Windows . La misma está disponible desde http://www.atstake.com (http://www.atstake.com/

research/lc3/)
11.6.9. CFS - Sistema de archivos criptográfico y TCFS - Sistema de archivos criptográfico

transparente
CFS (Cryptographic File System)es una forma de cifrar un árbol de directorio completo y permitir a los usuarios
almacenar archivos cifrados en el mismo. Usa un servidor NFS corriendo en la máquina local. El código fuente
y más información está disponible en ATT (ftp://ftp.research.att.com/dist/mab/).
TCFS mejora sobre CFS al agregar más integración con el sistema de archivos, por lo tanto el hecho de que
el sistema de archivos está cifrado es transparente a los usuarios. Más información en el sitio web de TCFS
(http://www.tcfs.it/).
Tampoco es necesario usarlo en sistemas de archivos enteros. También funciona sobre árboles de directorios.
11.6.10. X11, SVGA y la seguridad de la pantalla
11.6.10.1. X11
Es importante para Usted el asegurar su pantalla gráfica para evitar que los atacantes recojan sus contraseñas
mientras Usted las ingresa, lean documentos o información que Usted está leyendo en su monitor, o incluso
usen un hueco para ganar acceso como root. Ejecutar aplicaciones X remotas a través de una red también
puede estar lleno de riesgos, permitiendo a los sabuesos ver toda su interacción con el sistema remoto.
X tiene una cantidad de mecanismos de control de acceso. El más simple de ellos, está basado en el host: Usted
usa xhost para especificar los hosts a los cuales se les permite acceso a su pantalla. Esto no es muy seguro en
absoluto, ya que si alguien tiene acceso a su máquina, puede ejecutar xhost + la_máquina_de_ellos y entrar
fácilmente. También, si Usted tiene que permitir el acceso desde una máquina en la cual no confía, cualquiera
que esté allí puede comprometer su pantalla.
Cuando se usa xdm (X Display Manager, Administrador de pantallas X ), o su contrapartida KDE : KDM , para
conectarse, se tiene un método de acceso mucho mejor: MIT-MAGIC-COOKIE-1. Se genera un “cookie” de
128 bits y se almacena en su archivo .Xauthority. Si necesita permitir que una máquina remota acceda a su
pantalla, puede usar el comando xauth y la información en su archivo .Xauthority para proveer acceso sólo
a esa conexión. Consulte el mini-COMO sobre Aplicaciones X remotas (http://metalab.unc.edu/LDP/HOWTO/
mini/Remote-X-Apps.html).
También puede usar ssh (ver ssh (Secure SHell) y stelnet, página 154) para permitir conexiones X seguras. Esto
tiene la ventaja extra de ser transparente para el usuario final, y significa que no fluyen datos sin cifrar a través
de la red.
También puede deshabilitar cualquier conexión remota a su servidor X utilizando la opción -nolisten tcp
de su servidor X . Esto evitará cualquier conexión de red a su servidor a través de los sockets TCP.
Eche un vistazo a la página Man de Xsecurity para mayor información sobre la seguridad en X . La apuesta
segura es usar xdm para ingresar a su consola y luego usar ssh para ir a sitios remotos sobre los cuales desea
correr programas X .
11.6.10.2. SVGA
Los programas de SVGAlib típicamente son suid -root para poder acceder a todo el hardware de vídeo de su
máquina GNU/Linux . Esto los torna muy peligrosos. Si ellos se cuelgan, por lo general Usted tendrá que rei-
niciar su máquina para volver a obtener una consola utilizable. Asegúrese que cualquier programa SVGA que
Usted está ejecutando es auténtico, y puede ser confiado al menos algo. Mejor aún, no los corra en absoluto.
157
11.6.10.3. GGI (Proyecto de Interfaz Gráfica Genérica)

El proyecto GNU/Linux GGI (Generic Graphic Interface) está intentando resolver varios de los problemas con las
interfaces de vídeo en GNU/Linux . GGI moverá una pequeña pieza del código de vídeo dentro del núcleo de
GNU/Linux , y luego controlará el acceso al sistema de vídeo. Esto significa que GGI podrá restaurar su consola
en cualquier momento a un estado bueno conocido. También permitirán una clave de atención segura, por
lo que Usted podrá estar seguro de que no hay un programa login Troyano corriendo en su consola. Más
información en el sitio web del proyecto GGI (http://www.ggi-project.org/).
11.7. Seguridad del núcleo

Esta es una descripción de las opciones de configuración del núcleo que se relacionan con la seguridad, y una
explicación de lo que hacen, y de como usarlas.
Debido a que el núcleo controla la parte de red de su máquina, es importante que sea muy seguro, y que no
esté comprometido. Para evitar algunos de los últimos ataques de red, Usted debería intentar mantener su
versión del núcleo actualizada. Puede encontrar núcleos nuevos en kernel.org (ftp://ftp.kernel.org) o a
partir de actualizaciones de paquetes disponibles por medio de MandrakeUpdate .
También existe un grupo internacional que provee un parche único y unificado de criptografía para el nú-
cleo de GNU/Linux principal. Este parche proporciona soporte de una cantidad de subsistemas criptográficos
y cosas que no se pueden incluir en el núcleo principal debido a restricciones de exportación. Para mayor
información, visite su página web en: kerneli.org (http://www.kerneli.org)
11.7.1. Opciones de compilación del núcleo

Cuando se escribió este documento, el núcleo 2.2 era lo último que había. Todavía hoy, la mayoría de los
cortafuegos corren 2.2. Sin embargo, con el núcleo 2.4 han cambiado un montón de cosas. La mayoría de las
opciones de compilación de este capítulo todavía son válidas, pero el enmascarado y reenvío de puertos ha si-
do reemplazado por iptables . Para más información sobre iptables consulte el sitio web de linuxguruz.org
(http://www.linuxguruz.org/iptables/howto/iptables-HOWTO.html).
Para los núcleos 2.2.x, aplican las opciones siguientes. Usted debería ver estas opciones durante el proceso de
configuración del núcleo. Muchos de los comentarios aquí son extractos de /usr/src/linux/Documentation/Configure.he
que es el mismo documento que se referencia cuando se usa la opción de Help (Ayuda) durante la etapa make
config de la compilación del núcleo. Por favor, consulte Compilando e instalando núcleos nuevos en Manual
de Referencia para una descripción completa de la compilación de un núcleo completamente nuevo.
• Network Firewalls (CONFIG_FIREWALL)

Esta opción debería estar habilitada si Usted pretende correr cualquier tipo de cortafuegos o enmascara-
miento en su máquina GNU/Linux . Si sólo va a ser una máquina cliente común, es seguro decir no.
• IP: forwarding/gatewaying (CONFIG_IP_FORWARD)

Si habilita el reenvío de IP, su máquina GNU/Linux se convierte esencialmente en un router. Si su máquina
está en una red, Usted puede estar reenviando datos de una red a otra, y tal vez derribando un cortafue-
gos que fue puesto allí para evitar que esto ocurra. Los usuarios normales de conexión telefónica querrán
deshabilitar esto, y otros usuarios deberían concentrarse en las implicancias de seguridad de hacer esto. Las
máquinas cortafuegos querrán habilitar esto, y usarlo en conjunto con software de cortafuegos.
Puede habilitar el reenvío de IP dinámicamente usando el comando siguiente:
root# echo 1 > /proc/sys/net/ipv4/ip_forward
y deshabilitarlo con el comando:

root# echo 0 > /proc/sys/net/ipv4/ip_forward
158
• IP: syn cookies (CONFIG_SYN_COOKIES)

Un “SYN Attack” es un ataque de negación de servicio (DoS) que consume todos los recursos de su máqui-
na, forzándolo a reiniciarla. No podemos pensar en una razón por la cual Usted normalmente no habilitaría
esto. En la serie de núcleos 2.1 esta opción de configuración meramente permitía a los cookies SYN, pero los
deshabilitaba. Para habilitarlos, tiene que hacer:
root# echo 1 > /proc/sys/net/ipv4/tcp_syncookies <P>
• IP: Firewalling (CONFIG_IP_FIREWALL)

Esta opción es necesaria si va a configurar a su máquina como un cortafuegos, hacer enmascaramiento, o
desea proteger a su estación de trabajo de acceso telefónico de alguien que ingrese a su sistema a través de
su interfaz PPP de acceso telefónico.
• IP: firewall packet logging (CONFIG_IP_FIREWALL_VERBOSE)

Esta opción le da información sobre los paquetes que recibió su cortafuegos, como remitente, destinatario,
puerto, etc.
• IP: Drop source routed frames (CONFIG_IP_NOSR)

Esta opción debería estar habilitada. Las tramas de ruteo fuente contienen la ruta completa a su destino
dentro del paquete. Esto significa que los ruteadores por los cuales pasa el paquete no necesitan inspec-
cionarlos, y simplemente los siguen reenviando. Esto puede llevar a que ingresen datos en su sistema que
pueden ser una explotación potencial.
• IP: masquerading (CONFIG_IP_MASQUERADE)

Si una de las computadoras en su red local para la cual su máquina GNU/Linux actúa como un cortafuegos
quiere enviar algo al exterior, su máquina puede “enmascararse” como ese host, es decir, esta reenvía el
tráfico al destino pretendido, pero hace parecer como si el tráfico viniese de la máquina cortafuegos en
sí misma. Vea Indyramp (http://www.indyramp.com/masq) y Configuración de los clientes “enmascarados”,
página 103 para mayor información.
• IP: ICMP masquerading (CONFIG_IP_MASQUERADE_ICMP)

Esta opción agrega enmascaramiento ICMP a la opción previa de sólo enmascaramiento del tráfico TCP o
UDP.
• IP: transparent proxy support (CONFIG_IP_TRANSPARENT_PROXY)

Esto le permite a su cortafuegos GNU/Linux redireccionar de manera transparente cualquier tráfico de red
que se origina desde la red local y está destinado para un host remoto a un servidor local, denominado un
“servidor proxy transparente”. Esto hace que las computadoras locales piensen que están dialogando con
el extremo remoto, cuando de hecho están conectadas al proxy local. Ver el COMO sobre enmascaramiento de
IP y el sitio Indyramp (http://www.indyramp.com/masq) para mayor información.
• IP: always defragment (CONFIG_IP_ALWAYS_DEFRAG)

Generalmente esta opción está deshabilitada, pero si Usted está construyendo un host cortafuegos o de
enmascaramiento, querrá habilitarla. Cuando se envían los datos de un host a otro, los mismos no siempre
se envían como un único paquete de datos, sino que están algo fragmentados en varias piezas. El problema
con esto es que los números de puerto sólo se almacenan en el primer fragmento. Esto significa que alguien
puede insertar información que no se supone que esté allí en los paquetes que restan. También puede evitar
un ataque de lagrimeo contra un host interno que todavía no esté protegido contra este.
159
• Packet Signatures (CONFIG_NCPFS_PACKET_SIGNING)

Esta es una opción que firmará los paquetes NCP para mayor seguridad. Normalmente puede dejarla des-
habilitada, pero está allí si es que la necesita.
• IP: Firewall packet netlink device (CONFIG_IP_FIREWALL_NETLINK)

Esta es una opción realmente bonita que le permite analizar los primeros 128 bytes de los paquetes de un
programa en espacio de usuario, para determinar si Usted querría aceptar o negar el paquete, basado en su
validez.
• Socket Filtering (CONFIG_FILTER)

Para la mayoría de la gente, es seguro decir no a esta opción. Esta opción le permite conectar un filtro en
espacio de usuario a cualquier socket y determinar si los paquetes deben ser permitidos o negados. A menos
que Usted tenga una necesidad muy específica y sea capaz de programar tal filtro, debería decir no. Note
también que al momento de esta escritura, estaban soportados todos los protocolos excepto TCP.
• Port Forwarding
El reenvío de puertos es una adición al enmascarado de IP que permite algo de reenvío de paquetes des-
de el exterior al interior de un cortafuegos en determinados puertos. Esto puede ser útil, por ejemplo, si
quiere correr un servidor web detrás del host cortafuegos o de enmascaramiento y ese servidor web debe
ser accesible desde el mundo exterior. Un cliente externo envía un pedido al puerto 80 del cortafuegos, el
cortafuegos reenvía este pedido al servidor web, el servidor web maneja el pedido y se envían los resultados
a través del cortafuegos al cliente original. El cliente cree que es la máquina cortafuegos en sí misma la que
está corriendo el servidor web. También se puede usar esto para el balanceo de carga si tiene una granja
de servidores web idénticos detrás del cortafuegos. Está disponible información sobre esta característica en
monmouth (http://www.monmouth.demon.co.uk/ipsubs/portforwarding.html). Para información gene-
ral, por favor vea compsoc (ftp://ftp.compsoc.net/users/steve/ipportfw/linux21/).
• Socket Filtering (CONFIG_FILTER)

Usando esta opción, los programas en espacio de usuario pueden adjuntar un filtro a cualquier socket y
por lo tanto decirle al núcleo que debería permitir o negar que ciertos tipos de datos fluyan por el socket.
El filtrado de sockets de GNU/Linux funciona sobre todos los tipos de socket excepto TCP por ahora. Vea el
archivo de texto /usr/src/linux/Documentation/networking/filter.txt para mayor información.
• IP: Masquerading
El enmascaramiento de IP del núcleo 2.2 ha sido mejorado. El mismo proporciona soporte adicional pa-
ra protocolos especiales de enmascaramiento, etc. Asegúrese de leer el COMO sobre IP Chains para mayor
información.
11.7.2. Dispositivos del núcleo

Están disponibles unos pocos dispositivos de bloque y caracter en GNU/Linux que también lo ayudarán con la
seguridad.
El núcleo proporciona los dos dispositivos /dev/random y /dev/urandom para suministrar datos aleatorios en
cualquier momento.
Tanto /dev/random como /dev/urandom deberían ser lo suficientemente seguros para generar claves PGP , retos
ssh, y otras aplicaciones donde se necesiten números aleatorios seguros. Los atacantes no deberían poder
predecir el número siguiente dado cualquier secuencia inicial de números de estas fuentes. Se ha puesto un
montón de esfuerzo en asegurarse que los números que Usted obtiene desde estas fuentes son aleatorios en
todo el sentido de la palabra.
160
La única diferencia entre estos dos dispositivos, es que /dev/random corre a partir de bytes aleatorios y hace
que Usted espere que se acumulen más. Note que en algunos sistemas, se puede bloquear por un largo rato
esperando que la nueva entropía generada por el usuario ingrese en el sistema. Por lo tanto debería tener
cuidado antes de usar /dev/random. (Tal vez la mejor cosa a hacer es usarlo cuando Usted está generando
información sensible al tecleo, y Usted le dice al usuario que presione el teclado repetitivamente hasta que se
imprima “Bueno, suficiente”.)
/dev/random es entropía de alta calidad, generada a partir de la medición de los tiempos inter-interrupciones,
etc. Se bloquea hasta que están disponibles suficientes bits de datos aleatorios.
/dev/urandom es similar, pero cuando el almacén de entropía se está vaciando, devolverá un hash criptográfi-
camente fuerte de lo que hay. Esto no es tan seguro, pero es suficiente para la mayoría de las aplicaciones.
Usted puede leer del dispositivo usando algo como lo siguiente:
root# head -c 6 /dev/urandom | mimencode
Esto mostrará seis caracteres aleatorios en la consola, adecuados para la generación de contraseñas. Puede
encontrar a mimencode en el paquete metamail.
Vea /usr/src/linux/drivers/char/random.c para una descripción del algoritmo.
11.8. Seguridad de la red

La seguridad de la red se está volviendo más y más importante a medida que la gente se pasa más y más tiem-
po conectada. Comprometer la seguridad de la red por lo general es más fácil que comprometer la seguridad
física o local, y es mucho más común.
Hay una cantidad de herramientas buenas para ayudarlo con la seguridad de la red, y cada vez más son parte
de su distribución Mandrake Linux, ya sea en el CD-ROM principal, en contribs, o a través del servidor FTP
crypto (ver arriba)
11.8.1. Sabuesos (Sniffers) de paquetes

Una de las maneras más comunes en las que los intrusos ganan acceso a más sistemas en su red es empleando
un sabueso de paquetes sobre un host ya comprometido. Este “sabueso” simplemente escucha sobre el puerto
Ethernet cosas como passwd y login y su en el flujo de paquetes y entonces registra el tráfico luego de
alguno de ellos. De esta forma, los atacantes ganan contraseñas para sistemas en los cuales ellos ni siquiera
están intentando entrar. Las contraseñas textuales son muy vulnerables a este ataque.
Ejemplo: El Host A ha sido comprometido. El atacante instala un sabueso. El sabueso levanta el registro admi-
nistrativo dentro del Host B desde el Host C. Obtiene la contraseña personal del administrador mientras este
se conecta a B. Luego, el administrador hace un su para arreglar un problema. Ahora ellos tienen la contraseña
de root para el Host B. Luego el administrador permite que alguien haga telnet desde su cuenta al Host Z
en otro sitio. Ahora el atacante tiene una contraseña/login en Host Z.
En estos días y estas épocas, el atacante ni siquiera necesita comprometer a un sistema para hacer esto: ellos
también pueden traer una portátil o una PC dentro de un edificio y “pinchar” su red.
El uso de ssh u otros métodos de contraseñas cifradas frustra este ataque. Cosas como APOP para las cuentas
POP también evitan este ataque. (Las conexiones POP normales son muy vulnerables a esto, al igual que
cualquier cosa que envíe contraseñas textuales sobre la red.)
11.8.2. Los servicios del sistema y los tcp wrappers

Antes de poner a su sistema GNU/Linux en CUALQUIER red la primer cosa a revisar es cuales servicios
necesita ofrecer. Los servicios que no necesita ofrecer deberían estar deshabilitados, de esta forma tendrá una
cosa menos de la cual preocuparse y los atacantes tendrán un lugar menos donde buscar un hueco.
Hay una cantidad de formas de deshabilitar servicios bajo GNU/Linux . Puede mirar en su archivo /etc/inetd.
conf y ver qué servicios está ofreciendo su inetd. Deshabilite cualquier servicio que no necesita agregando
un comentario (# al comienzo de una línea), y luego reinicie su servicio inetd.
161
También puede quitar (o agregar comentarios a) los servicios en su archivo /etc/services. Esto significará
que los clientes locales tampoco podrán encontrar el servicio (es decir, si Usted quita ftp, e intenta hacer ftp
a un sitio remoto desde esa máquina este fallará con un mensaje de servicio desconocido) Generalmente
no vale la pena quitar servicios desde /etc/services, ya que esto no proporciona seguridad adicional. Si una
persona local quisiera usar ftp incluso cuando Usted agregó el comentario, ellos pueden hacer que su propio
cliente use el puerto común de FTP y todavía funcionaría sin problemas.
Algunos de los servicios que querría dejar habilitados son:
• ftp
• telnet (o ssh)
• correo electrónico, como pop-3 o imap
• identd
Si sabe que no va a utilizar algún paquete en particular, también puede eliminarlo por completo.rpm -e pac-
kagename borrará un paquete completo.
Adicionalmente, Usted realmente quiere deshabilitar los utilitarios rsh/rlogin/rcp incluyendo a login (usado
por rlogin), shell (usado por rcp), y exec (usado por rsh) para que no se inicien en /etc/inetd.conf. Estos
protocolos son extremadamente inseguros y han sido la causa de explotaciones en el pasado.
Debería verificar sus archivos /etc/rc.d/rc[0-9].d, y ver si algunos de los servidores que se inician en esos
directorios no se necesitan. En realidad, los archivos en esos directorios son vínculos simbólicos a archivos
en el directorio /etc/rc.d/init.d. El renombrar los archivos en el directorio init.d deshabilita a todos los
vínculos simbólicos que apunten a tales archivos. Si Usted sólo quiere deshabilitar un servicio para un nivel de
ejecución en particular, renombre el vínculo simbólico apropiado reemplazando la S con una K, de la siguiente
forma:
root# cd /etc/rc6.d
root# mv S45dhcpd K45dhcpd
También puede usar un utilitario de la lı́nea de comandos para hacer

eso: chkconfig o la interfaz gráfica bajo KDE : ksysv.
Su distribución Mandrake Linux se envía con un tcp_wrapper que “envuelve” a todos sus servicios TCP. El
tcp_wrapper (tcpd) se invoca desde inetd en lugar del servidor real. tcpd entonces verifica el host que está
pidiendo el servicio y, o bien ejecuta el servidor real, o bien niega el acceso desde ese host. tcpd le permite
restringir el acceso a sus servicios TCP. Usted debería editar /etc/hosts.allow y agregar sólo aquellos hosts
que necesitan tener acceso a los servicios de su máquina.
Si Usted es un usuario hogareño de acceso telefónico, sugerimos que niegue TODOS. tcpd también registra los
intentos fallidos de acceso a los servicios, por lo que esto lo puede alertar si Usted está bajo ataque. Si agrega
servicios nuevos, debería asegurarse de configurarlos para usar tcp_wrappers si están basados en TCP. Por
ejemplo, un usuario normal de acceso telefónico puede evitar que los extraños se conecten a su máquina, y
todavía tener la posibilidad de recibir correo, y hacer conexiones de red a Internet. Para lograr esto, podría
agregar lo siguiente a su archivo /etc/hosts.allow:
ALL: 127.
Y, por supuesto, su archivo /etc/hosts.deny contendría:
ALL: ALL
lo cual evitará las conexiones externas a su máquina, y todavía le permitirá a Usted conectarse desde la misma
con servidores en Internet.
Tenga en mente que los tcp_wrappers sólo protegen a los servicios que se ejecutan desde inetd, y a unos pocos
otros seleccionados. Bien podría haber otros servicios corriendo en su máquina. Usted puede usar netstat -
ta para encontrar una lista de todos los servicios que su máquina está ofreciendo.
162
11.8.3. Verifique su información de DNS

Mantener información DNS actualizada acerca de todos los hosts en su red puede ayudar a incrementar la
seguridad. Si un host no autorizado se conecta a su red, Usted puede reconocerlo por su falta de una entrada
DNS. Muchos servicios se pueden configurar para no aceptar conexiones de hosts que no tengan entradas de
DNS válidas.
11.8.4. identd
identd es un programa pequeño que típicamente corre desde su servidor inetd. Mantiene la pista de el servi-
cio TCP que está corriendo cada usuario, y le reporta sobre quien hizo la demanda.
Mucha gente no entiende la utilidad de identd, y por lo tanto lo deshabilitan o bloquean a todos quienes lo
piden desde fuera del sitio. identd no está allí para ayudar a los sitios remotos. No hay forma de saber si los
datos que Usted obtiene desde el identd remoto son correctos o no. No hay autenticación en los pedidos de
identd.
Entonces, ¿por qué querría ejecutarlo? Porque lo ayuda a Usted, y es otro punto en seguir la pista a los datos.
Si su identd no está comprometido, entonces Usted sabe que le está diciendo a los sitios remotos el nombre
de usuario o el UID de la gente que usa servicios TCP. Si el administrador de un sitio remoto se presenta ante
Usted y le dice que el usuario fulano de tal estaba intentando hackear dentro de su sitio, Usted puede tomar
acción fácilmente contra ese usuario. Si Usted no está corriendo identd, Usted tendrá que revisar montones
y montones de registros, adivinar quien estaba conectado en ese momento, y en general tomaría mucho más
tiempo seguirle la pista al usuario.
El identd que se envía con la mayoría de las distribuciones es más configurable de lo que piensa mucha gente.
Lo puede deshabilitar para usuarios específicos (ellos pueden hacer un archivo .noident), puede registrar
todos los pedidos identd (lo cual recomendamos), incluso puede hacer que identd devuelva un UID en vez
de un nombre de usuario o incluso NO-USER.
11.8.5. Configurando y haciendo seguro al MTA Postfix

El servidor de correo electrónico Postfix fue escrito por Wietse Venema, autor de Postfix y muchos otros
productos necesarios para la seguridad de Internet, tales como un “intento de brindar una alternativa al pro-
grama Sendmail ampliamente utilizado. Postfix intenta ser rápido, fácil de administrar, y con suerte, seguro,
a la vez que mantiene bastante compatibilidad con Sendmail como para no enojar a sus usuarios.”
Se puede encontrar más información acerca de Postfix en la página web de Postfix (http://www.postfix.
org) y en Configurando y haciendo seguro a Postfix (http://www.linuxsecurity.com/feature_stories/
feature_story-91.html).
11.8.6. SATAN, ISS, y otros rastreadores de la red

Existe una cantidad de paquetes de software diferentes que hacen un rastreo de máquinas o redes basado en
puertos y servicios. SATAN , ISS , SAINT , y Nessus son algunos de los más conocidos . Este software se conecta
a la máquina objetivo (o a todas las máquinas objetivo en una red) en todos los puertos que pueda, e intenta
determinar que servicio está corriendo allí. Usted puede decir si la máquina es vulnerable a una explotación
específica sobre ese servidor basándose en esta información.
SATAN (Security Administrator’s Tool for Analyzing Networks, Herramienta del administrador de la seguridad
para analizar redes) es un rastreador de puertos con una interfaz web. Se puede configurar para realizar ve-
rificaciones leves, medias, o fuertes sobre una máquina o una red de máquinas. Es una buena idea obtener
a SATAN y rastrear su máquina o su red, y corregir los problemas que este encuentre. Asegúrese de obte-
ner la copia de SATAN desde el sitio web de Metalab (http://metalab.unc.edu/pub/packages/security/
Satan-for-Linux/) o un sitio FTP o web de reputación conocida. Había una copia Troyano de SATAN que se
distribuía en la red. trouble.org (http://www.trouble.org/~zen/satan/satan.html). Note que SATAN no ha
sido actualizado desde hace tiempo, y algunas de las otras herramientas que siguen podrían hacer un trabajo
mejor.
ISS (Internet Security Scanner, Rastreador de seguridad de Internet) es otro rastreador basado en puertos. Es
más rápido que SATAN , y por lo tanto puede ser mejor para redes grandes. Sin embargo, SATAN tiende a proveer
mayor información.
163
TriSentry (antes conocido como Abacus ) es un conjunto de programas que brindan seguridad y detección de
intrusiones basadas en el host. Consulte la página web de Psionic (http://www.psionic.com/products/) para
mayor información.
SAINT es una versión actualizada de SATAN . Está basada en web y tiene muchas más pruebas actualizadas que
SATAN . Puede encontrar más información acerca del mismo en: wwdsi.com (http://www.wwdsi.com/saint)
Nessus es un rastreador de seguridad libre. Tiene una interfaz gráfica GTK para facilidad de uso. También
está diseñado con una configuración muy buena de plugins para pruebas de rastreo de puertos nuevas. Para
mayor información, eche un vistazo a : nessus.org (http://www.nessus.org/)
11.8.6.1. Detectando rastreos de puertos

Hay algunas herramientas diseñadas para alertarle en caso de rastreos hechos por SATAN e ISS y otro software
de rastreo. Sin embargo, si Usted usa tcp_wrappers liberalmente y revisa sus archivos de registro regularmen-
te, debería poder darse cuenta de tales rastreos. Incluso en la configuración más leve, SATAN deja rastros en los
registros.
También existen rastreadores de puertos “stealth”. Es muy probable que un paquete con el bit TCP ACK activo
(como hacen las conexiones bien establecidas) pasará a través de un cortafuegos que filtra paquetes. El paquete
RST devuelto desde un puerto que _no tiene sesión establecida_ puede tomarse como una prueba de vida en
dicho puerto. No creo que los TCP_wrappers detectarán esto.
También puede querer echar un vistazo a SNORT (http://www.snort.org) que es un Sistema de detección de
intrusiones (IDS del inglés Intrusion Detection System), que puede detectar otras intrusiones en la red.
11.8.7. sendmail, qmail y los MTA3

Uno de los servicios más importantes que Usted puede proporcionar es un servidor de correo. Desafortuna-
damente, también es uno de los más vulnerables al ataque, simplemente debido al número de tareas que debe
llevar a cabo y los privilegios que necesita típicamente.
Si está utilizando sendmail es muy importante que se mantenga actualizado con las versiones corrientes.
sendmail tiene una larga historia de explotaciones de seguridad. Siempre asegúrese de usar la última versión
disponible en el sitio web de Sendmail (http://www.sendmail.org/).
Tenga presente que sendmail no tiene que estar corriendo para que Usted pueda enviar correo. Si Usted es
un usuario hogareño puede deshabilitar por completo a sendmail , y simplemente usar su cliente de correo
para enviar el correo. También podría elegir quitar la opción -bd del archivo de arranque de sendmail , des-
habilitando de esa forma los pedidos de correo entrantes. En otras palabras, puede ejecutar sendmail desde
su script de arranque usando lo siguiente:
# /usr/lib/sendmail -q15m
Esto causará que sendmail vacíe la cola de correo cada quince minutos para cualquier mensaje que no se pudo
enviar satisfactoriamente en el primer intento.
Muchos administradores eligen no usar sendmail , y en su lugar elegir uno de los otros agentes de transporte
de correo. Usted podría considerar el cambiar a Qmail . Qmail fue diseñado con la seguridad en mente desde
el principio. Es rápido, estable, y seguro. Se puede encontrar a Qmail en: qmail.org (http://www.qmail.org)
En competencia directa con Qmail está Postfix , escrito por Wietse Venema, el autor de tcp_wrappers y otras
herramientas de seguridad. Antes denominado vmailer , y patrocinado por IBM, este también es un agente de
transporte de correo escrito con la seguridad en mente desde el principio. Puede encontrar más información
sobre Postfix en el sitio web de Postfix (http://www.postfix.org)
Postfix es el MTA predeterminado que se envı́a con Mandrake

Linux.
3. Mail Transport Agent – Agentes de Transporte de Correo.
164
11.8.8. Ataques de negación de servicio

Un ataque de “Negación de Servicio” (DoS, del inglés Denial of Service) es aquel en el cual el atacante intenta
hacer que algún recurso esté muy ocupado para atender pedidos legítimos, o negar el acceso a su máquina a
los usuarios legítimos.
Los ataques de negación de servicio se han incrementado mucho en los años recientes. Abajo se listan algunos
de los más populares y recientes. Note que todo el tiempo se presentan nuevos, por lo tanto estos son sólo
algunos ejemplos. Lea las listas de seguridad de GNU/Linux y la lista y los archivos bugtraq para información
más actualizada.
• SYN Flooding – Este es un ataque de negación de servicio de red. Se aprovecha de un “hueco de lazo” en la
forma en que se crean las conexiones TCP. Los núcleos de GNU/Linux más recientes (2.0.30 y superiores)
tienen varias opciones configurables para evitar que los ataques de este tipo le nieguen a la gente el acceso
a su máquina o a los servicios de la misma. Consulte Seguridad del núcleo, página 158 para las opciones
apropiadas de protección del núcleo.
• Ping Flooding – Este es simplemente un ataque de negación de servicio de fuerza bruta. El atacante envía
una “inundación” de paquetes ICMP a su máquina. Si ellos están haciendo esto desde un host con mejor
ancho de banda que el suyo, su máquina no podrá enviar todo a la red. Una variación de este ataque,
denominada “smurfing”, envía paquetes ICMP a un host con la dirección IP de retorno de su máquina,
permitiéndoles inundarlo de una forma más difícil de detectar. Puede encontrar más información sobre
el ataque “smurf” en linuxsecurity.com (http://www.linuxsecurity.com/articles/network_security_
article-4258.html)
Si alguna vez está bajo un ataque de inundación de ping, use una herramienta como tcpdump para deter-
minar de donde vienen los paquetes (o de donde parecen venir), luego contacte a su proveedor con esta
información. Las inundaciones de ping pueden pararse fácilmente al nivel del router o usando un cortafue-
gos.
• Ping o’ Death – El ataque Ping o’ Death (El ping de la muerte) envía paquetes ICMP ECHO REQUEST que son
muy grandes para caber en las estructuras de datos del núcleo que pretenden alojarlos. Debido a que man-
dar un único paquete “ping” grande (65,510 bytes) a muchos sistemas causará que los mismos se cuelguen
o incluso se caigan, este problema fue rápidamente bautizado el “Ping de la muerte”. Ya hace tiempo que se
corrigió este tipo de ataque, y por lo tanto ya no es algo por lo que uno tenga que hacerse problemas.
Puede encontrar el código para la mayoría de las explotaciones, y una descripción más detallada de como
funcionan usando el motor de búsqueda que brinda insecure.org (http://www.insecure.org/sploits.html)
11.8.9. Seguridad de NFS (Network File System)

NFS es un protocolo para compartir archivos usado ampliamente. Permite que los servidores que corren nfsd
y mountd “exporten” sistemas de archivos enteros a otras máquinas usando el soporte de sistemas de archivos
NFS incorporados en sus núcleos (o algún otro soporte cliente si es que no son máquinas GNU/Linux ). mountd
mantiene un registro de los sistemas de archivos montados en /etc/mtab, y puede mostrarlos con showmount.
Muchos sitios usan NFS para servir a los usuarios sus directorios personales, por lo que no importa desde qué
máquina en la red se conecten, ellos tendrán todos sus archivos personales.
Hay una pequeña cantidad de seguridad permitida al exportar sistemas de archivos. Usted puede hacer que
su nfsd asigne al usuario root remoto (UID=0) al usuario nobody, negándole acceso total a los archivos expor-
tados. Sin embargo, debido a que los usuarios individuales tienen acceso a sus archivos propios (o al menos a
los del mismo UID), el usuario root remoto se puede conectar o hacer su a su cuenta y tener acceso total a sus
archivos. Esto es sólo un pequeño estorbo para un atacante que tiene acceso a montar sus sistemas de archivos
remotos.
Si debe usar NFS, asegúrese de exportar sólo hacia aquellas máquinas que realmente necesita. Nunca exporte
todo su directorio raíz; exporte sólo aquellos directorios que necesita exportar.
Para mayor información sobre NFS, consulte los COMO s sobre NFS, disponibles en LDP (http://www.ibiblio.
org/mdw/HOWTO/NFS-HOWTO/)
165
11.8.10. NIS (Network Information Service) (antes era YP).

El servicio de información de red o NIS, por sus siglas en inglés (anteriormente YP por Yellow Pages, Páginas
Amarillas), es una forma de distribuir información a un grupo de máquinas. El maestro NIS guarda las tablas
de información y las convierte en archivos de mapa NIS. Luego, se sirven esos mapas sobre la red, permitiendo
a las máquinas cliente NIS obtener información sobre conexión, contraseña, directorio personal, y shell (toda
la información en un archivo /etc/passwd estándar). Esto permite a los usuarios cambiar su contraseña una
vez y hacer que la misma tenga efecto en todas las máquinas en el dominio NIS.
NIS no es seguro en absoluto. Nunca llegó a ser lo que se pretendía. Se pretendía que sea hábil y útil. Cual-
quiera que puede adivinar el nombre de su dominio NIS (en cualquier parte de la red) puede obtener una
copia de su archivo de contraseñas, y usar crack y John the Ripper contra las contraseñas de sus usuarios.
También es posible engañar a NIS y hacer todo tipo de trucos asquerosos. Si debe utilizar NIS, debe asegurarse
que conoce los peligros.
Existe un reemplazo mucho más seguro para NIS, denominado NIS+ . Vea el COMO sobre NIS para más infor-
mación en ibiblio (http://www.ibiblio.org/mdw/HOWTO/NIS-HOWTO/).
11.8.11. Cortafuegos
Los cortafuegos son una forma de controlar que información se permite ingresar a y salir desde su red local.
Típicamente el host cortafuegos está conectado a la Internet y su red LAN local, y el único acceso desde su red
LAN local a la Internet es a través del cortafuegos. De esta forma el cortafuegos puede controlar lo que pasa
en ambas direcciones entre la Internet y su red LAN.
Hay varios tipos de cortafuegos y métodos de configurarlos. Las máquinas GNU/Linux son cortafuegos muy
buenos. El código del cortafuegos se puede incorporar directamente en los núcleos 2.0 y superiores. Las he-
rramientas de espacio de usuario ipchains para los núcleos 2.2, e iptables para los núcleos 2.4 le permiten
cambiar, sobre la marcha, los tipos de tráfico de red que Usted permite. También puede registrar tipos parti-
culares de tráfico de red.
Los cortafuegos son una técnica muy útil e importante para asegurar su red. Sin embargo, nunca piense que
por el hecho de tener un cortafuegos, no necesita asegurar las máquinas detrás del mismo. Esto es un error
fatal. Eche un vistazo al COMO sobre cortafuegos muy bueno en ibiblio (http://www.ibiblio.org/mdw/HOWTO/
Firewall-HOWTO.html) para mayor información sobre los cortafuegos y GNU/Linux .
Si no tiene experiencia alguna con los cortafuegos, y planea configurar uno para algo más que una sim-
ple política de seguridad, el libro Firewalls de O’Reilly and Associates u otra documentación en línea so-
bre cortafuegos son lecturas obligatorias. Eche un vistazo en el sitio de O’Reilly (http://www.ora.com) pa-
ra mayor información. El National Institute of Standards and Technology (NIST) ha hecho un documento
excelente sobre cortafuegos. Aunque data de 1995, todavía es bastante bueno. Lo puede encontrar en NIST
(http://cs-www.ncsl.nist.gov/publications/nistpubs/800-10/main.html). También de interés, se inclu-
yen:
• The Freefire Project -- una lista de herramientas de cortafuegos disponibles libremente en freefire (http:
//sites.inka.de/sites/lina/freefire-l/index_en.html).
• Mason -- el constructor automático de cortafuegos para GNU/Linux . Este es un script de cortafuegos ¡que aprende
a medida que Usted realiza las cosas que necesita hacer en su red! Más información en: mason (http:
//www.pobox.com/~wstearns/mason/).
11.8.12. IP Chains – Cortafuegos con el núcleo 2.2.x de Linux

GNU/Linux IP Firewalling Chains es una actualización al código de cortafuegos del núcleo 2.0 de GNU/Linux
para el núcleo 2.2. Tiene muchas más funciones que las implementaciones anteriores, incluyendo:
• Manipulaciones de paquetes más flexible

• Contabilidad más compleja
• Cambios de política simples posibles automáticamente
166
• Se puede bloquear, negar, etc. explícitamente a los fragmentos

• Registra los paquetes sospechosos
• Puede manejar protocolos que no sean ICMP/TCP/UDP.
Para más información debe asegurarse de leer el COMO sobre IP Chains. Está disponible en LinuxDoc (http:
//www.tldp.org/HOWTO/IPCHAINS-HOWTO.html)
11.8.13. Netfilter - el cortafuegos del núcleo de Linux 2.4.x

Mejorando todavía más el código de filtrado de paquetes IP del núcleo, netfilter permite a los usuarios confi-
gurar, mantener, e inspeccionar las reglas de filtrado de paquetes en el núcleo 2.4 nuevo.
El sub-sistema netfilter es una reescritura por completo de las implementaciones previas del filtrado de pa-
quetes incluyendo a ipchains e ipfwadm. Netfilter brinda una cantidad importante de mejoras, y ahora se ha
vuelto una solución incluso mucho más madura y robusta para la protección de redes corporativas.
iptables es una interfaz de la línea de comandos utilizada para manipular las tablas del cortafuegos dentro
del núcleo.
Netfilter brinda un marco para manipular los paquetes a medida que los mismos pasan por distintas partes
del núcleo. Parte de este marco incluye soporte para el enmascarado, el filtrado estándar de paquetes, y ahora
un soporte más completo para la traducción de direcciones de red (NAT). Incluso incluye soporte mejorado
para los pedidos de balanceo de cargas para un servicio en particular de entre un grupo de servidores detrás
del cortafuegos.
Las características de inspección que conservan el estado (stateful) son especialmente potentes. Las mismas
brindan la posibilidad de seguir la pista y controlar el flujo de la comunicación que pasa a través del filtro. La
posibilidad de mantener la pista del estado y de la información de contexto sobre una sesión no sólo hace que
las reglas sean más simples sino que también ayuda a interpretar mejor los protocolos de nivel más alto.
Adicionalmente, se pueden desarrollar muchos módulos pequeños para realizar funciones específicas, tales
como pasar paquetes a programas en el espacio de usuario para que los procesen y luego volverlos a inyectar
en el flujo normal de los paquetes. La posibilidad de desarrollar estos programas en el espacio de usuario
reduce el nivel de complejidad que antes estaba asociado con tener que hacer los cambios directamente a nivel
del núcleo.
Otras referencias a IP Tables incluyen:
• El tutorial de Oskar Andreasson sobre IP Tables (http://www.linuxsecurity.com/feature_stories/

feature_story-94.html) — Oskar Andreasson habla con LinuxSecurity.com acerca de su tutorial com-
pleto sobre IP Tables y cómo se puede utilizar este documento para construir un cortafuegos robusto para
su organización.
• Hal Burgiss presenta Guías rápidas para la seguridad en Linux (http://www.linuxsecurity.com/feature_
stories/feature_story-93.html) — Hal Burgiss ha escrito dos guías que son autoridad en la materia
sobre como hacer que Linux sea más seguro, que incluyen la administración de un cortafuegos.
• La página web sobre Netfilter (http://netfilter.samba.org) — La página principal de netfilter/iptables.
• El cortafuegos del núcleo Linux 2.4 madura: netfilter (http://www.linuxsecurity.com/feature_stories/
kernel-netfilter.html) — Este artículo de LinuxSecurity.com describe las bases del filtrado de paquetes,
cómo comenzar a utilizar iptables, y una lista de características nuevas disponibles en la última generación
de cortafuegos para Linux.
11.8.14. VPN - Red privada virtual

Las VPN son una forma de establecer una red “virtual” encima de alguna red ya existente. Esta red virtual
por lo general está cifrada y pasa el tráfico sólo hacia y desde algunas entidades conocidas que se han unido a
la red. Comúnmente se usan las VPN para conectar a alguien que trabaja desde su hogar a la red interna de la
compañía por medio de Internet pública.
167
Si está corriendo un cortafuegos GNU/Linux de enmascaramiento y necesita pasar paquetes MS PPTP (el pro-
ducto de VPN punto a punto de Microsoft), hay un parche para el núcleo de GNU/Linux justamente para hacer
eso. Consulte ip-masq-vpn (ftp://ftp.rubyriver.com/pub/jhardin/masquerade/ip_masq_vpn.html).
Hay varias soluciones disponibles para VPN en GNU/Linux :
• vpnd. Consulte sunsite.auc.dk (http://sunsite.auc.dk/vpnd/).

• Free S/Wan, disponible en el sitio web de Free S/Wan (http://www.xs4all.nl/~freeswan/)
• SSH se puede utilizar para construir una VPN. Ver el mini-COMO sobre VPN para mayor información.
• vps (servidor privado virtual) en strongcrypto (http://www.strongcrypto.com).
• vtun (túnel virtual) en sourceforge (http://vtun.sourceforge.net/).
• yavipin (http://yavipin.sourceforge.net).
Vea también la sección sobre IPSEC para referencias y más información.
11.9. Preparación para la seguridad (antes que Usted vaya en lı́nea)

Bueno, entonces ha verificado todo su sistema, y ha determinado que es seguro y conveniente, y está listo para
ponerlo en línea. Ahora bien, hay algunas cosas que debería saber para prepararse para una intrusión, para
que pueda deshabilitar al intruso rápidamente, y recuperarse y seguir corriendo.
11.9.1. Haga una copia de respaldo completa de su computadora

La discusión de los métodos y almacenamiento de copia de respaldo están fuera del alcance de este capítulo,
pero aquí tiene algunas palabras relacionadas con las copias de respaldo y la seguridad:
Si tiene menos de 650MB de datos para almacenar en una partición, una copia de sus datos en CD-R es una
buena forma de hacerlo (ya que es difícil su posterior manipulación, y si se almacena adecuadamente puede
durar un tiempo largo); necesitará al menos 650MB de espacio para hacer la imagen, por supuesto. Las cintas
y otros medios que se pueden volver a escribir deberían protegerse contra escritura tan pronto como esté
completa su copia de respaldo, y luego verificados para evitar su manipulación. Asegúrese de almacenar sus
copias de respaldo en un área segura fuera de línea. Una copia de respaldo buena le asegurará que tiene un
punto bueno conocido a partir del cual puede restaurar su sistema.
11.9.2. Eligiendo un buen ciclo de copia de respaldo

Un ciclo de seis cintas es fácil de mantener. Este incluye cuatro cintas para los días durante la semana, una
cinta para los viernes pares, y una cinta para los viernes impares. Realice una copia de respaldo incremental
cada día, y una copia de respaldo completa sobre la cinta de los viernes adecuada. Si realiza algunos cambios
particularmente importantes o agrega algunos datos importantes a su sistema, también podría ser necesaria
una copia de respaldo completa.
11.9.3. Probando sus copias de respaldo

Debería realizar pruebas periódicas de sus copias de respaldo para asegurarse que están funcionando como
se espera. La restauración de archivos y la verificación contra los datos, tamaños y listados reales de copias de
respaldo, y la lectura de copias de respaldo antiguas se debería realizar regularmente.
168
11.9.4. Copia de respaldo de su archivo de base de datos RPM

En caso de una intrusión, Usted puede usar su base de datos de RPM como usaría a tripwire, pero sólo si
Usted puede estar seguro de que esta tampoco ha sido modificada. Usted debería copiar la base de datos de
RPM a un disquete, y mantener esta copia fuera de línea en todo momento.
Es muy probable que los archivos /var/lib/rpm/fileindex.rpm y /var/lib/rpm/packages.rpm no quepan
en un sólo disquete. Pero si se comprimen, cada uno debería caber en un disquete separado.
Ahora, cuando su sistema está comprometido puede utilizar el comando:
root# rpm -Va
para verificar cada archivo del sistema. Vea la página Man de rpm, ya que hay algunas otras opciones que se
pueden incluir para hacerlo menos verboso. Tenga presente que también debe asegurarse que su binario RPM
no ha sido comprometido.
Esto significa que cada vez que se agrega al sistema un RPM nuevo, se deberá volver a archivar la base de
datos de RPM. Usted tendrá que evaluar las ventajas y desventajas.
11.9.5. Mantenga registro de los datos de contabilidad de su sistema

Es muy importante que la información que viene desde syslog no haya sido comprometida. Hacer que sólo
un número limitado de usuarios puedan leer y escribir los archivos en /var/log es un buen comienzo.
Debe asegurarse de observar lo que se escribe allí, especialmente bajo la facilidad auth. Por ejemplo, múltiples
intentos de conexión fallidos, pueden indicar un intento de ingresar ilegalmente.
Usted querrá mirar en /var/log y verificar messages, mail.log, y otros.
También querría configurar su script de rotación de registro para mantener los registros por más tiempo, así
Usted tiene tiempo de examinarlos. Eche un vistazo a la página Man del comando logrotate.
Si se han manipulado sus archivos de registro, vea si puede determinar cuando se inició dicha manipulación,
y qué tipo de cosas aparentan haber sido manipuladas. ¿Hay períodos largos de tiempo que no se pueden
tener en cuenta? Es una buena idea verificar las cintas de copia de respaldo (si es que tiene alguna) en busca
de archivos no manipulados.
Típicamente, los intrusos modifican los archivos de registro para cubrir sus pasos, pero todavía estos se pue-
den verificar en busca de acontecimientos extraños. Usted puede notar al intruso intentando ganar acceso, o
explotando un programa para poder obtener la cuenta de root. Usted puede ver las entradas del registro antes
de que el intruso tenga el tiempo de modificarlas.
También se debe asegurar de separar la facilidad auth de otros datos del registro, incluyendo los intentos de
cambiar usuarios usando su, intentos de conexión, y otra información de contabilidad de usuarios.
Si es posible, configure a syslog para enviar una copia de los datos más importantes a un sistema seguro. Esto
evitará que un intruso cubra sus pasos borrando sus intentos de hacer login/su/ftp/etc. Vea la página Man
de syslog.conf, y consulte la opción @.
Hay varios programas de syslogd más avanzados allí afuera. Eche un vistazo en core-sdi.com (http:
//www.core-sdi.com/ssyslog/) para Secure Syslog. Secure Syslog le permite cifrar sus entradas del regis-
tro de sistema y asegurarse de que nadie las ha manipulado.
Otro syslogd con más opciones es syslog-ng (http://www.balabit.hu/en/downloads/syslog-ng.html). Le
permite un montón más de flexibilidad en el proceso de registro y también puede cifrar sus flujos syslog
remotos para evitar la manipulación de los mismos.
Finalmente, los archivos de registro son mucho menos útiles cuando nadie los está leyendo. Tómese algo de
tiempo de vez en cuando para revisar sus archivos de registro, y tener una idea de como lucen en un día
normal. Saber esto puede ayudar a hacer que las cosas poco comunes salten a la vista.
169
11.9.6. Aplique todas las actualizaciones del sistema nuevas

Debido a la naturaleza del ritmo rápido de los arreglos de seguridad, siempre se están sacando programas
nuevos (arreglados). Antes de conectar su máquina a la red, es una buena idea ejecutar MandrakeUpdate y
obtener todos los paquetes actualizados desde que Usted recibió el CD-ROM con su distribución. Muchas
veces estos paquetes contienen arreglos de seguridad importantes, por lo tanto es una buena idea instalarlos.
11.10. Qué hacer durante y después de un irrupción

¿Así que ha seguido algunos de los consejos de aquí (o de algún otro lado) y ha detectado una irrupción?
La primer cosa a hacer es mantener la calma. Las acciones apresuradas pueden causar más daño que el que
hubiese causado el atacante.
11.10.1. Compromiso de seguridad en curso

Detectar un compromiso de seguridad en curso puede ser una tarea tensa. La forma en la que reaccione puede
tener consecuencias enormes.
Si el compromiso que está presenciando es físico, es posible que haya detectado que alguien irrumpió en su
casa, oficina o laboratorio. Usted debería notificar a sus autoridades locales. En un laboratorio, Usted podrá
haber detectado a alguien intentando abrir un gabinete o reiniciar una máquina. Dependiendo de su autoridad
y procedimientos, les puede pedir que se detengan, o contactar a su gente de seguridad local.
Si ha detectado a un usuario local intentando comprometer su seguridad, la primer cosa a hacer es confirmar
que, de hecho, ellos son quienes Usted cree que son. Verifique el sitio desde el cual se están conectando. ¿Es
este el sitio desde el cual ellos se conectan normalmente? ¿No? Entonces use una forma no electrónica de
ponerse en contacto con ellos. Por ejemplo, llámelos por teléfono y camine hasta su oficina/casa y hable con
ellos. Si ellos están de acuerdo que están conectados, Usted puede pedirles que expliquen que es lo que están
haciendo o decirles que dejen de hacerlo. Si ellos no están conectados, y no tienen idea de lo que está hablando,
es posible que este incidente requiera una investigación más profunda. Busque en tales incidentes, y tenga un
montón de información antes de hacer acusación alguna.
Si ha detectado un compromiso de red, la primer cosa a hacer (si puede) es desconectar su red. Si ellos están
conectados por medio de un módem, desconecte el cable del módem; si están conectados por medio de Et-
hernet , desconecte el cable Ethernet . Esto evitará que ellos hagan un daño mayor, y probablemente lo vean
como un problema de la red en vez de una detección.
Si no puede desconectar la red (tiene un sitio ocupado, o no tiene control físico de sus máquinas), el próximo
paso mejor es usar algo como tcp_wrappers o ipfwadm para negar el acceso desde el sitio del intruso.
Si no puede negar a toda la gente desde el mismo sitio en el que está el intruso, el trabar la cuenta del usua-
rio tendrá que ser suficiente. Note que trabar una cuenta no es una cosa fácil. tendrá que tener presente los
archivos .rhosts, el acceso por FTP, y toda una cantidad de puertas traseras posibles.
Una vez que ha hecho algo de lo anterior (desconectado la red, negado el acceso desde su sitio, y/o deshabili-
tado su cuenta), necesita terminar a todos los procesos de ellos y desconectarlos.
Debería monitorear su sitio bien en los próximos minutos, ya que el atacante volverá a intentar entrar. Tal vez
usando una cuenta diferente, y/o desde una dirección de red diferente.
11.10.2. El compromiso de seguridad ya ha ocurrido

Así que Usted o ha detectado un compromiso que ya ha ocurrido o lo detectó y (con suerte) trabó al atacante
para que no pueda entrar a su sistema. ¿Y ahora qué?
11.10.2.1. Tapando el hueco

Si puede determinar los medios que usó el atacante para entrar en su sistema., debería intentar tapar ese hueco.
Por ejemplo, tal vez Usted ve varias entradas FTP justo antes que el usuario se haya conectado. Deshabilite el
servicio FTP y verifique si hay una versión actualizada, o si alguna de las listas sabe de un arreglo.
170
Verifique todos sus archivos de registro, y haga una visita a sus listas y páginas de seguridad y vea si hay
alguna explotación común nueva que Usted pueda corregir. Puede encontrar las correcciones de seguridad de
su distribución Mandrake Linux corriendo MandrakeUpdate regularmente.
Ahora existe un proyecto de auditoría de seguridad de GNU/Linux . Ellos están pasando metódicamente por
todos los utilitarios de espacio de usuario y buscando explotaciones de seguridad y desbordamientos posibles.
Del anuncio del mismo:
“Estamos intentando una auditoría sistemática de los fuentes de GNU/Linux con vistas a que sea tan seguro
como OpenBSD . Ya hemos descubierto (y arreglado) algunos problemas, aunque más ayuda es bienvenida. La
lista no está moderada y también es un recurso útil para discusiones de seguridad generales. La dirección de
la lista es: security-audit@ferret.lmh.ox.ac.uk Para suscribirse, envíe un correo electrónico a: security-
audit-subscribe@ferret.lmh.ox.ac.uk”
Si Usted no traba al atacante para que no vuelva a ingresar, probablemente ellos volverán. No sólo volverán
a su máquina, sino que volverán a algún lugar de su red. Si ellos estaban corriendo un sabueso de paquetes,
hay muchas posibilidades de que tengan acceso a otras máquinas locales.
11.10.2.2. Determinando el daño

Lo primero es determinar el daño. ¿Qué ha sido comprometido? Si está corriendo un verificador de integridad
como Tripwire , lo puede usar para realizar una verificación de integridad; y debería ayudarle a decir que es
lo que se ha comprometido. Si no, Usted tendrá que buscar entre todos sus datos importantes.
Dado que los sistemas GNU/Linux se están volviendo más y más fáciles de instalar, Usted podría considerar
guardar sus archivos de configuración, borrar su(s) disco(s), volver a instalar, y luego restaurar los archivos
de sus usuarios y sus archivos de configuración desde su copia de respaldo. Esto asegurará que Usted tiene
un sistema nuevo, limpio. Si tiene que respaldar archivos desde el sistema comprometido, tenga precaución
especialmente con los binarios que restaura, ya que estos pueden ser Troyanos puestos allí por el intruso.
Volver a instalar el sistema debería considerarse como obligatorio luego que un intruso obtuvo acceso como
root. Adicionalmente, Usted querría mantener cualquier evidencia que hay, por lo que puede tener sentido el
hecho de tener un disco aparte en la caja fuerte.
Luego tiene que considerar cuanto hace que ocurrió el compromiso, y si las copias de respaldo contienen algún
trabajo dañado. Más sobre las copias de respaldo luego.
11.10.2.3. Backups, Backups, Backups!

Tener copias de respaldo regulares es un regalo divino para los temas de la seguridad. Si su sistema está
comprometido, Usted puede restaurar los datos que necesite desde las copias de respaldo. Algunos datos son
de valor para los atacantes también, por supuesto, y ellos no sólo los destruirán, sino que también los robarán
y tendrán sus propias copias; pero al menos todavía tendrá los datos.
Debería verificar en varias copias de respaldo del pasado antes de restaurar un archivo que ha sido manipula-
do. El intruso puede haber comprometido sus archivos hace mucho tiempo, y ¡puede que haya hecho muchas
copias de respaldo satisfactorias de los archivos comprometidos!
Por supuesto, también hay una cantidad enorme de cosas que conciernen a la seguridad de las copias de
respaldo. Asegúrese de almacenarlas en un lugar seguro. Sepa quien tiene acceso a ellas. (Si un atacante puede
obtener sus copias de respaldo, ellos pueden tener acceso a todos sus datos incluso sin que Usted se entere.)
11.10.2.4. Siguiéndole la pista al intruso

Bueno, Usted ha trabado al intruso fuera de su sistema, y recuperó su sistema, pero todavía no ha terminado.
Aunque es poco probable que la mayoría de los intrusos sean atrapados alguna vez, Usted debería reportar el
ataque.
Usted debería reportar el ataque al contacto administrativo del sitio desde el cual el atacante atacó a su sistema.
Puede buscar este contacto con whois o la base de datos de Internic. Puede enviarles un correo electrónico
con todas las entradas y fechas y horas del registro que correspondan. Si Usted descubrió algo más que dis-
tinga a su intruso, también podría mencionarlo. Luego de enviar el correo electrónico , Usted debería (si es
que así lo prefiere) seguir con una llamada telefónica. Si, entonces, ese administrador descubre a su atacante, es
posible que ellos puedan hablar con el administrador del sitio desde donde ellos vienen y así sucesivamente.
171
Los crackers buenos por lo general usan muchos sistemas intermedios, algunos (o muchos) de los cuales
incluso no deben saber que han sido comprometidos. Intentar seguirle la pista a un cracker hasta su hogar
puede ser difícil. El ser amable con los administradores con los cuales habla puede ser de muy útil para
obtener ayuda de ellos.
También debería notificar a cualquier organismo de seguridad de los que Usted es parte (el CERT (http:
//www.cert.org/) o similar), así como también a MandrakeSoft (http://www.mandrakesecure.net/en/).
11.11. Fuentes sobre seguridad

Allí afuera hay un montón de sitios buenos sobre la seguridad de los sistemas UNIX en general y de GNU/Linux
en particular. Es muy importante suscribirse a una (o más) de las listas de correo sobre seguridad y mantenerse
actualizado con los arreglos de seguridad. La mayoría de estas listas son de bajo volumen, y muy informativas.
11.11.1. Referencias de LinuxSecurity.com

El sitio web LinuxSecurity.com tiene varias referencias de seguridad sobre Linux y el código abierto escritas
por el personal de LinuxSecurity y personas de manera colectiva alrededor del mundo.
• Linux Advisory Watch (http://www.linuxsecurity.com/vuln-newsletter.html) — Un boletín completo

que delinea las vulnerabilidades de seguridad que se han anunciado en el transcurso de la semana. Incluye
referencias a paquetes actualizados y descripciones de cada vulnerabilidad.
• Linux Security Week (http://www.linuxsecurity.com/newsletter.html) — El propósito de este docu-
mento es brindar a nuestros lectores un resumen rápido de los titulares más relevantes de cada semana con
respecto a la seguridad en Linux.
• Linux Security Discussion List (http://www.linuxsecurity.com/general/mailinglists.html) — Este lis-
ta de distribución de correo es para preguntas y comentarios generales relacionados con la seguridad.
• Linux Security Newsletters (http://www.linuxsecurity.com/general/mailinglists.html) — Informa-
ción de suscripción para todos los boletines.
• comp.os.linux.security FAQ (http://www.linuxsecurity.com/docs/colsfaq.html) — Preguntas Formu-
ladas con Frecuencia con respuestas para el grupo de noticias comp.os.linux.security.
• Linux Security Documentation (http://www.linuxsecurity.com/docs/) — Un gran punto de partida para
información que concierne a la seguridad de Linux y del Código Abierto.
11.11.2. Sitios FTP

CERT es el Computer Emergency Response Team (Equipo de Respuesta de Emergencias de Computadoras). Ellos
envían seguido alertas de los ataques y arreglos corrientes. Para mayor información consulte cert.org (ftp:
//ftp.cert.org).
ZEDZ (anteriormente Replay) (http://www.zedz.net (http://www.zedz.net)) tiene archivos de muchos pro-
gramas de seguridad. Debido a que ellos están fuera de EE.UU., no necesitan obedecer a las restricciones
criptográficas de EE.UU.
Matt Blaze es el autor de CFS y un gran entusiasta de la seguridad. El archivo de Matt está disponible en:
att.com (ftp://ftp.research.att.com/pub/mab)
tue.nl es un gran sitio FTP sobre seguridad en Holanda. tue.nl (ftp://ftp.win.tue.nl/pub/security/)
11.11.3. Sitios web
• The Hacker FAQ son las preguntas formuladas con frecuencia acerca de los hackers: The Hacker FAQ (http:
//www.plethora.net/~seebs/faqs/hacker.html)
• El archivo COAST tiene una gran cantidad de programas UNIX relacionados con la seguridad e información:
COAST (http://www.cerias.purdue.edu/coast/)
172
• La página sobre seguridad de SuSe: suse.de (http://www.suse.de/security/)

• Rootshell.com es un gran sitio para ver cuales explotaciones están usando los crackers actualmente:
http://www.rootshell.com/ (http://www.rootshell.com/)
• BUGTRAQ publica advertencias sobre temas relacionados con la seguridad: los archivos de BUGTRAQ (http:
//online.securityfocus.com/archive/1)
• CERT, el Equipo de Respuesta de Emergencias de Computación, publica advertencias sobre ataques comu-
nes en las plataformas UNIX : Página principal de CERT (http://www.cert.org/)
• Dan Farmer es el autor de SATAN y muchas otras herramientas de seguridad. Su sitio tiene alguna infor-
mación interesante relacionada con la seguridad, así como también herramientas de seguridad: trouble.org
(http://www.trouble.org)
• El sitio WWW sobre seguridad en GNU/Linux es un buen lugar para buscar información relacionada con la
seguridad en GNU/Linux : Linux Security WWW (http://www.aoy.com/Linux/Security/)
• Infilsec tiene un motor de vulnerabilidad que le dice como afectan las vulnerabilidades a una plataforma
específica: infilsec.com (http://www.infilsec.com/vulnerabilities/)
• CIAC envía boletines de seguridad periódicos sobre las explotaciones comunes: ciac.llnl.gov (http://ciac.
llnl.gov/cgi-bin/index/bulletins)
• Se puede encontrar un buen punto de partida para los Módulos de autenticación enchufables en kernel.org
(http://www.kernel.org/pub/linux/libs/pam/).
• Las FAQ sobre seguridad en WWW, escritas por Lincoln Stein, son una referencia de seguridad grande en
la web. Encuéntrelas en w3.org (http://www.w3.org/Security/Faq/www-security-faq.html)
11.11.4. Listas de correo

La lista de seguridad sobre Mandrake Linux: Usted puede informarse sobre cada corrección de seguridad si
se suscribe a nuestra lista de correos sobre seguridad (http://www.mandrakesecure.net/en/mlist.php).
Bugtraq: Para suscribirse a bugtraq, envíe un correo electrónico a listserv@netspace.org conteniendo en el
cuerpo del mensaje lo siguiente: “subscribe bugtraq”. (ver los vínculos de arriba para los archivos)
CIAC: Envíe un correo electrónico a majordomo@tholia.llnl.gov. En el cuerpo del mensaje (no en el tema)
ponga: “subscribe ciac-bulletin”
11.11.5. Libros – Material de lectura impreso

Existe una cantidad de libros buenos sobre seguridad allí afuera. Esta sección lista algunos de ellos. Además
de los libros específicos sobre seguridad, la seguridad se cubre en una cantidad de otros libros sobre adminis-
tración del sistema.
Referencias
D. Brent Chapman, Elizabeth D. Zwicky, Building Internet Firewalls, 1st Edition September 1995, ISBN 1-56592-
124-0.
Simson Garfinkel, Gene Spafford, Practical UNIX & Internet Security, 2nd Edition April 1996, ISBN 1-56592-
148-8.
Deborah Russell, G.T. Gangemi, Sr., Computer Security Basics, 1st Edition July 1991, ISBN 0-937175-71-4.
Olaf Kirch, Linux Network Administrator’s Guide, 1st Edition January 1995, ISBN 1-56592-087-2.
Simson Garfinkel, PGP: Pretty Good Privacy, 1st Edition December 1994, ISBN 1-56592-098-8.
David Icove, Karl Seger, William VonStorch, Computer Crime A Crimefighter’s Handbook, 1st Edition August
1995, ISBN 1-56592-086-4.
173
John S. Flowers, Linux Security, New Riders, March 1999, ISBN 0735700354.
Anonymous, Maximum Linux Security : A Hacker’s Guide to Protecting Your Linux Server and Network, July 1999,
ISBN 0672313413.
Terry Escamilla, Intrusion Detection, John Wiley and Sons, September 1998, ISBN 0471290009.
Donn Parker, Fighting Computer Crime, John Wiley and Sons, September 1998, ISBN 0471163783.
11.12. Preguntas formuladas con frecuencia (FAQ)

P: ¿Es más seguro compilar el soporte de un controlador directamente en el núcleo en vez de hacerlo como un
módulo?
R: Algunas personas creen que es mejor deshabilitar el posibilidad de cargar controladores de dispositivos
utilizando módulos, debido a que un intruso podría cargar un módulo Troyano y un módulo que podría
afectar la seguridad del sistema.
Sin embargo, para poder cargar módulos, Usted debe ser root. También es sólo root quien puede escribir los
archivos objeto de los módulos. Esto significa que el intruso necesitaría acceso de root para poder insertar
un módulo. Si el intruso gana acceso de root hay muchas cosas más serias de las que preocuparse de que si
cargará o no un módulo.
Los módulos son para cargar dinámicamente el soporte para un dispositivo en particular que puede utilizarse
con poca frecuencia. En las computadoras servidor, o por ejemplo, los cortafuegos, es muy poco probable que
ocurra esto. Es por esto, que tendría más sentido compilar el soporte directamente dentro del núcleo para las
máquinas con rol de servidor. También los módulos son más lentos que el soporte compilado directamente en
el núcleo.
P: ¿Por qué siempre falla la conexión como root desde una máquina remota?
R: Vea Seguridad de root , página 146. Esto se hace intencionalmente para evitar que los usuarios remotos
intenten conectarse por medio de telnet a su computadora como root que es una vulnerabilidad de segu-
ridad seria, debido a que se transmitiría la contraseña textual de root, a través de la red. No lo olvide: los
intrusos potenciales tienen al tiempo de su lado, y pueden correr programas automatizados para averiguar su
contraseña. Además, esto se hace para mantener un registro claro de quienes se conectaron, no sólo root.
P: ¿Cómo puedo habilitar las extensiones SSL de Apache ?

R: Simplemente instale el paquete mod_ssl, y consulte la documentación en la página principal de mod_ssl
(www.modssl.org).
También deberı́a considerar el módulo mod_sxnet , que es un plu-

gin para mod_ssl que permite la activación de la “Thawte Secu-
re Extranet”. mod_ssl cifra las comunicaciones, pero mod_ssl-
sxnet va más lejos y permite autenticar al usuario de manera
segura en la página web gracias a un certificado personal. Tie-
ne más información acerca de esta aplicación en Thawte (http:
//www.thawte.com/certs/strongextranet/) o instale el módu-
lo mod_sxnet de su distribución Mandrake y lea la documentación
del paquete.
Tamboén puede intentar ZEDZ net (http://www.zedz.net) que tiene muchos paquetes pre-construidos, y
está ubicado fuera de Estados Unidos.
174
P: ¿Cómo puedo manipular las cuentas de los usuarios y todavía así retener la seguridad?
R: Su distribución Mandrake Linux contiene una gran cantidad de herramientas para cambiar las propiedades
de las cuentas de usuario.
• Se pueden usar los programas pwconv y unpwconv para convertir entre contraseñas shadow y no-shadow.
• Se pueden usar los programas pwck y grpck para verificar la organización adecuada de los archivos /etc/
passwd y /etc/group.
• Se pueden usar los programas useradd, usermod, y userdel para añadir, borrar y modificar cuentas de
usuario. Los programas groupadd, groupmod, y groupdel harán lo mismo para los grupos.
• Se pueden crear contraseñas de grupos utilizando gpasswd.
Todos estos programas soportan las contraseñas shadow – es decir, si las habilita, los programas utilizarán
/etc/shadow para la información de contraseñas, en caso contrario no.
P: ¿Cómo puedo proteger con contraseña documentos HTML específicos utilizando Apache ?
R: Apuesto que Usted no sabía acerca de apacheweek.com (http://www.apacheweek.com), ¿cierto?
Puede encontrar información sobre la autenticación de usuarios en apacheweek punto com (http://www.
apacheweek.com/features/userauth) así como también otros consejos de seguridad sobre servidores web en
Apache (http://www.apache.org/docs/misc/security_tips.html)
11.13. Conclusión
Suscribiéndose a las listas de correo de alertas de seguridad y manteniéndose actualizado, puede hacer un
montón en pos de asegurar su máquina. Incluso puede hacer más si presta atención a sus archivos de registro
y ejecuta algo como tripwire regularmente.
No es difícil mantener un nivel razonable de seguridad de computadoras en una máquina hogareña. Se ne-
cesita mayor esfuerzo para las máquinas de negocios, pero GNU/Linux puede sin lugar a dudas, ser una pla-
taforma segura. Debido a la naturaleza del desarrollo de GNU/Linux , los arreglos de seguridad generalmente
están disponibles más rápido que lo que están en los sistemas operativos comerciales, haciendo de GNU/Linux
una plataforma ideal cuando la seguridad es un requisito.
Términos relacionados con la seguridad
Debajo se incluyen varios términos de los más utilizados en la seguridad de computadoras. En LinuxSecu-
rity.com (http://www.linuxsecurity.com/dictionary/) está disponible un diccionario completo de térmi-
nos relacionados con la seguridad de computadoras.
autenticación
El proceso de saber que los datos recibidos son los mismos que los datos que se han enviado, y que quien
dice ser el remitente es, de hecho, quien realmente los envió.
Bastión, host bastión

Un sistema de computadora que debe ser altamente asegurado porque es vulnerable a los ataques, usual-
mente porque está expuesto a la Internet y es el punto de contacto principal para los usuarios de las redes
internas. Toma su nombre de los proyectos altamente fortificados en las paredes externas de los castillos
medievales. Los bastiones vigilaban las áreas críticas de defensa, y por lo general tenían paredes fuertes,
lugar para tropas extra, y el ocasionalmente útil caldero lleno de aceite hirviendo para desalentar a los
atacantes.
175
Términos relacionados con la seguridad
buffer, desbordamiento del

El estilo común de escribir código es nunca asignar buffers suficientemente grandes, y no verificar por
desbordamientos. Cuando dichos buffers se desbordan, el programa en ejecución (demonio o programa
set-uid) puede ser engañado para hacer algunas otras cosas. Generalmente esto funciona sobreescribien-
do la dirección de retorno de una función en la pila para que apunte a otra ubicación.
Denegación de servicio (DoS)

Un ataque que consume los recursos de su computadora para cosas que no se supone que debe hacer,
por lo tanto evita el uso normal de los recursos de su red para propósitos legítimos.
dual-homed Host
Una computadora de propósito general que tiene al menos dos interfaces de red.
firewall (cortafuegos)
Un componente o conjunto de componentes que restringe el acceso entre una red protegida y la Internet,
o entre otros conjuntos de redes.
host
Una computadora conectada a una red.
IP spoofing (robo de IP)

IP Spoofing es un ataque técnico complejo que está conformado por varios componentes. Es una explo-
tación de seguridad que funciona engañando a las computadoras en una relación de confianza para que
crean que Usted es alguien que realmente no es. Hay un artículo extenso escrito por daemon9, route, e
infinity en el Volumen Siete, Edición Cuarenta y ocho de Phrack Magazine.
no repudio
La propiedad que tiene un destinatario de poder probar que el remitente de algunos datos, de hecho ha
enviado los datos incluso cuando el remitente pueda negar más tarde el hecho de haberlos enviado.
paquete
La unidad fundamental de comunicación en la Internet.
paquetes, filtrado de
La acción que toma un dispositivo de controlar selectivamente el flujo de datos desde y hacia una red. Los
filtros de paquetes permiten o bloquean a los paquetes, generalmente mientras los rutean desde una red
a otra (lo más usual es desde la Internet a un red interna y vice-versa) Para lograr el filtrado de paquetes,
Usted configura reglas que especifican los tipos de paquetes (aquellos hacia o desde una dirección IP o
un puerto en particular) que se van a permitir y los que se van a bloquear.
perimetral, red
Una red agregada entre una red protegida y una red externa, para proporcionar una capa de seguridad
adicional. Una red perimetral a veces se denomina una DMZ (Zona DesMilitarizada)
proxy, servidor
Un programa que trata con los servidores externos en nombre de los clientes internos. Los clientes proxy
se comunican con los servidores proxy, los que relevan los pedidos aprobados de los clientes a los servi-
dores reales, y relevan las respuestas de vuelta a los clientes.
superusuario
Un nombre informal para root.
176
Capı́tulo 12. Generalidades sobre redes
12.1. Copyright
Este capítulo está basado en un COMO por Joshua D. Drake {POET} cuyo original está almacenado en el sitio
web LinuxPorts.com/ (http://www.linuxports.com/).
La información sobre como configurar e instalar el soporte para redes en GNU/Linux de los NET-3/4-COMO , y
Networking-COMO Copyright (c) 1997 Terry Dawson, 1998 Alessandro Rubini, 1999 Joshua D. Drake {POET} -
thelinuxreview.com/ (http://www.thelinuxreview.com/) son documentos LIBRES. Usted los puede volver
a distribuir bajo los términos de la Licencia Pública General GNU.
Modificaciones a partir de la versión v1.6.9, 3 de julio de 2000, (C)opyright 2000 - 2002 MandrakeSoft
12.2. Cómo usar este capı́tulo

Este documento está organizado de arriba hacia abajo. Las primeras secciones incluyen material informativo
que Usted puede obviar si no está interesado; luego sigue una discusión genérica de los temas de red, y Usted
debe asegurarse de entender esto antes de continuar con las partes más específicas. El resto, información “es-
pecífica de la tecnología”, está agrupado en tres secciones principales: Información relacionada con Ethernet e
IP, las tecnologías pertinentes a un amplio rango de hardware de PC y las tecnologías raramente usadas.
Por lo tanto, se sugiere leer este documento de la manera siguiente:
Leer las secciones genéricas

Estas secciones se aplican a toda, o casi toda, tecnología descripta más adelante y, por lo tanto, es muy
importante que Usted las entienda. Por otro lado, es de esperar que muchos de los lectores ya tengan
conocimientos sobre el tema.
Considerar su red
Debería saber cómo está, o estará diseñada su red y exactamente qué tipos de hardware y tecnologías va
a implementar.
Leer la sección Información sobre Ethernet, página 184 si posee una conexión directa con una red LAN o con la
Internet
Esta sección describe la configuración básica de Ethernet y las distintas características que ofrece
GNU/Linux para las redes IP, como los cortafuegos, el ruteo avanzado, y así sucesivamente.
Leer la sección siguiente si Usted está interesado en redes locales de bajo costo o conexiones de acceso telefó-
nico
La sección describe PLIP, PPP, SLIP, y RDSI, tecnologías ampliamente usadas en estaciones de trabajo
personales.
Leer las secciones específicas a la tecnología relacionadas con sus requisitos

Si sus necesidades difieren de IP y/o de hardware común, la sección final cubre los detalles específicos a
protocolos no-IP y hardware de comunicaciones peculiar.
Realizar el trabajo de configuración

Debería intentar llevar a cabo la configuración de su red y tomar nota con cuidado de cualquier problema
que se le presente.
Buscar más ayuda si es necesario

Si Usted experimenta problemas que este documento no le ayuda a resolver, entonces lea la sección rela-
cionada con donde obtener ayuda o donde reportar los errores.
177
Capítulo 12. Generalidades sobre redes
¡Divertirse!
Las redes son divertidas, disfrútelas.
12.2.1. Convenciones usadas en este documento

Aquí no se usa convención especial alguna, pero debemos advertirle acerca de la manera en la que se muestran
los comandos. Siguiendo la documentación UNIX clásica, cualquier comando que Usted debe teclear en su
shell está precedido por un prompt. Aquí usamos “usuario%” para el mismo para los comandos que no
necesitan de los privilegios del superusuario, y “root#” para los comandos que necesitan ejecutarse como
root. Elegimos usar “root#” en vez de un simple “#” para evitar confusiones con las instantáneas de las
pantallas de los scripts del shell , donde se usa la almohadilla para definir líneas de comentarios.
Cuando se muestran las “Opciones de compilación del núcleo”, estas se representan en el formato que usa
menuconfig. Las mismas deberían ser comprensibles incluso si Usted (al igual que nosotros) no está acostum-
brado a menuconfig. Si tiene dudas sobre el anidado de las opciones, ejecutar el programa una vez no va a
hacer más que ayudar.
12.3. Información general acerca de las redes en Linux
12.3.1. Recursos sobre redes en Linux

Existe una cantidad de lugares donde Usted puede encontrar información buena sobre las redes en GNU/Linux .
Existe una cantidad enorme de consultores. Se puede encontrar una lista con capacidades de búsqueda en el
sitio web thelinuxreview.com (http://www.thelinuxreview.com/).
Alan Cox, quien en estos momentos mantiene el código de redes del núcleo de GNU/Linux , tiene una página
web que contiene las últimas novedades sobre los desarrollos corrientes y nuevos en el soporte de GNU/Linux
para redes en: uk.linux.org (http://www.uk.linux.org/NetNews.html).
Hay un foro de discusión en la jerarquía de noticias linux dedicado a las redes y temas relacionados en:
comp.os.linux.networking (news:comp.os.linux.networking)
Hay una lista de distribución de correos a la que Usted se puede suscribir donde puede formular preguntas
relacionadas con las redes en GNU/Linux . Para suscribirse debería enviar un mensaje de correo electrónico
como el siguiente:
A: majordomo@vger.rutgers.edu
Asunto: cualquier cosa
Mensaje:
subscribe linux-net
Por favor, recuerde que cuando reporte cualquier problema debe incluir tanto detalle relevante acerca del
mismo como pueda. Específicamente, Usted debería aclarar las versiones de software que está utilizando, en
especial la versión del núcleo, la versión de herramientas tales como pppd o dip y la naturaleza exacta del
problema que Usted está experimentando. Esto significa tomar nota de la sintaxis exacta de cualquier mensaje
de error que Usted reciba y de cualquier comando que Usted esté ingresando.
12.3.2. Donde obtener alguna información sobre redes no especı́fica a Linux

Generalmente, si Usted está buscando alguna información de tutorial básica sobre redes TCP/IP, entonces
recomendamos que eche un vistazo a los documentos siguientes:
Introducción a TCP/IP
Este documento viene tanto en una versión de texto (ftp://athos.rutgers.edu/runet/tcp-ip-intro.
doc) como en una versión PostScript (ftp://athos.rutgers.edu/runet/tcp-ip-intro.ps).
178
Administración de TCP/IP
Este documento viene tanto en una versión de texto (ftp://athos.rutgers.edu/runet/tcp-ip-admin.
doc) como en una versión PostScript (ftp://athos.rutgers.edu/runet/tcp-ip-admin.ps).
Si Usted está buscando algo de información más detallada sobre las redes TCP/IP, entonces es altamente
recomendable:
“Internetworking with TCP/IP, Volume 1: principles, protocols and architecture, por Douglas E. Comer,
ISBN 0-13-227836-7, publicaciones Prentice Hall, Tercera Edición, 1995.”
Si Usted desea aprender a escribir aplicaciones de red en un entorno compatible con los sistemas UNIX , enton-
ces también es altamente recomendable:
“Unix Network Programming, por W. Richard Stevens, ISBN 0-13-949876-1, publicaciones Prentice Hall,
1990.”
Está apareciendo en los escaparates de las librerías una segunda edición, el libro nuevo está compuesto por
tres volúmenes: vea el sitio web de Prentice-Hall (http://www.phptr.com/) para mayor información.
También puede intentar con el foro de discusión comp.protocols.tcp-ip (news:comp.protocols.tcp-ip).
Una fuente importante de información técnica específica relacionada con Internet y el conjunto de protocolos
TCP/IP son las RFC. RFC es un acrónimo de Request For Comments (Pedido de comentarios) y es la manera
estándar de enviar y documentar los estándares de los protocolos de Internet. Existen muchos repositorios de
RFC. Muchos de estos sitios son sitios FTP y otros proporcionan acceso por web con un motor de búsqueda
asociado que le permite buscar claves particulares en la base de datos de las RFC.
Una fuente posible para las RFC está en La base de datos Nexor de RFC (http://pubweb.nexor.co.uk/
public/rfc/index/rfc.html).
12.4. Información genérica sobre la configuración de redes

Usted deberá conocer y comprender las secciones siguientes muy bien, antes de intentar realmente configurar
su red. Hay principios fundamentales que se aplican sin importar la naturaleza exacta de la red que desea
desplegar.
12.4.1. ¿Qué necesito para comenzar?

Antes de comenzar a construir o configurar su red necesitará algunas cosas. De estas, las más importantes son:
12.4.1.1. Código fuente del núcleo corriente (Opcional)
Su distribución Mandrake Linux viene con la parte de redes ha-

bilitada, por lo tanto puede ser que no necesite volver a compilar
el núcleo. Si Usted está corriendo sobre hardware bien conocido,
deberı́a estar bien. Por ejemplo: tarjeta de red 3COM, NE2000,
o Intel. Sin embargo, se le proporciona la información siguiente si
Usted se encuentra en una posición tal que necesita actualizar su
núcleo.
Dado que el núcleo que está corriendo puede no tener soporte para los tipos de redes o de tarjetas que desea
utilizar, probablemente necesite el código fuente del núcleo de forma tal de poder volver a compilar el núcleo
con las opciones apropiadas.
Sin embargo, en tanto y en cuanto Usted se mantenga con el hardware más común, no debería tener la ne-
cesidad de volver a compilar el núcleo a menos que tenga necesidad de una característica o función muy
especifica.
Siempre puede obtener el código fuente de la última versión del núcleo desde sunsite.unc.edu (ftp://
sunsite.unc.edu/pub/linux/kernel.org/pub/linux/kernel). Este no es el sitio oficial pero ellos tienen un
MONTÓN de ancho de banda y capacidad. El sitio oficial es kernel.org (ftp.kernel.org) pero, por favor, si
puede use el sitio anterior. Recuerde que este sitio está bajo una sobrecarga seria. Use un sitio de réplica.
179
Normalmente, el código fuente del núcleo se desarchivará en el directorio /usr/src/linux. Para información
sobre como aplicar los parches y construir el núcleo, Usted debería leer el COMO sobre el núcleo (http://
linuxdoc.org/HOWTO/Kernel-HOWTO.html). Para información sobre como configurar los módulos del núcleo,
Usted debería leer Modules mini-HOWTO. También el archivo README que se encuentra en los fuentes del
núcleo y el directorio Documentation son muy informativos para el lector avezado.
A menos que específicamente se diga lo contrario, se recomienda que se quede con la revisión estándar del
núcleo (la que tiene un número par como segundo dígito en el número de versión del núcleo). Las revisiones
de desarrollo del núcleo (aquellas que tienen un segundo dígito impar) pueden sufrir cambios estructurales
u otros que pueden causar problemas con el resto del software en su sistema. Si no está seguro de poder
resolver esos tipos de problemas además del potencial de que existan otros errores de software, entonces no
use las versiones de desarrollo del núcleo.
12.4.1.2. Direcciones IP, una explicación

Las direcciones del protocolo de Internet (IP) se componen de cuatro bytes1. La convención es escribir las
direcciones en lo que se denomina “notación decimal punteada”. En esta forma, cada byte se convierte a un
número decimal (0-255) descartando cualquier cero a la izquierda a menos que el número sea cero y escrito
con cada byte separado por un “.”. Por convención cada interfaz de un host o router tiene una dirección IP.
En algunas circunstancias está permitido usar la misma dirección IP para cada interfaz de una máquina única,
pero generalmente, cada interfaz tendrá su propia dirección.
Las redes de protocolo de Internet son secuencias contiguas de direcciones IP. Todas las direcciones dentro de
una red tienen una cantidad de dígitos en común. La porción de la dirección que es común entre las direcciones
de una red se denomina la “porción de la red” de la dirección. Los números restantes se denominan la “porción
del host”. El número de bits que están compartidos por todas las direcciones dentro de una red se denomina
la “máscara de red” y es su rol determinar cuales direcciones pertenecen a la red a las que se aplica y cuales
no. Por ejemplo, considere lo siguiente:
Dirección del host 192.168.110.23

Máscara de red 255.255.255.0
Porición de red 192.168.110.
Porción del host .23
Dirección de red 192.168.110.0

Dirección de difusión 192.168.110.255
Cualquier dirección a la cual se la aplique un “AND lógico bit a bit” con su máscara de red revelará la dirección
de la red a la cual pertenece. Por lo tanto la dirección de red siempre es aquella con el menor número dentro
del rango de direcciones de la red y siempre tiene la porción del host de la dirección codificada como todos
ceros.
La dirección de difusión es una dirección especial sobre la cual cada host de la red escucha además de su propia
dirección única. Esta dirección es a la cual se envían los datagramas si cada host de la red debe recibirlos.
Ciertos tipos de datos como, por ejemplo, la información de ruteo y los mensajes de advertencia se transmiten
a la dirección de difusión de forma tal que cada host de la red lo pueda recibir simultáneamente. Existen dos
estándares comúnmente usados para cual debería ser la dirección de difusión. El más ampliamente aceptado
es usar la dirección de la red más alta posible como la dirección de difusión. En el ejemplo de arriba esta sería
192.168.110.255. Por alguna razón otros sitios han adoptado la convención de usar la dirección de red como
la dirección de difusión. En la práctica no importa mucho cual dirección use, pero Usted debe asegurarse que
cada host de la red está configurado con la misma dirección de difusión.
Por razones administrativas hace tiempo cuando recién empezaba el desarrollo del protocolo IP algunos gru-
pos de direcciones arbitrarios se convirtieron en redes y estas redes se agruparon en lo que se denominan
clases. Estas clases proporcionan una cantidad de redes de tamaño estándar que se podrían asignar. Los ran-
gos asignados son:
1. Para la versión 4 de IP también conocida como IPv4.
180
Clase de red Máscara de red Direcciones de red

A 255.0.0.0 0.0.0.0 - 127.255.255.255
B 255.255.0.0 128.0.0.0 - 191.255.255.255
C 255.255.255.0 192.0.0.0 - 223.255.255.255
Multicast 240.0.0.0 224.0.0.0 - 239.255.255.255
Las direcciones que debería usar dependen exactamente de que es lo que Usted está haciendo. Puede usar una
combinación de las actividades siguientes para obtener todas las direcciones que necesita:
Instalar una máquina GNU/Linux en una red IP existente

Si Usted desea instalar una máquina GNU/Linux en una red IP existente, entonces debería contactar a
quienes administren la red y pedirles la información siguiente:
• Dirección IP del host

• Dirección IP de la red
• Dirección IP de difusión
• Máscara de red IP
• Dirección del router
• Dirección del Servidor de Nombres de Dominio (DNS)
Entonces, debería configurar su dispositivo de red GNU/Linux con esos detalles. Usted no puede inven-
tarlos y pretender que su configuración funcione.
Construyendo una red totalmente nueva que nunca se conectará a la Internet

Si está construyendo una red privada y nunca pretende conectar dicha red con la Internet entonces pue-
de elegir cualquier dirección que guste. Sin embargo, por razones de seguridad y consistencia ha habido
algunas direcciones de red IP que se han reservado específicamente para este propósito. El RFC1597 es-
pecifica las mismas que son las siguientes:
Clase de red Máscara de red Dirección de red

A 255.0.0.0 10.0.0.0 - 10.255.255.255
B 255.255.0.0 172.16.0.0 - 172.31.255.255
C 255.255.255.0 192.168.0.0 - 192.168.255.255
Tabla 12-1. Asignaciones reservadas de redes privadas
Primero debería decidir cuan grande desea que sea su red y luego elegir tantas direcciones como necesite.
12.4.2. Ruteo
El ruteo es un tema importante. Es posible escribir volúmenes de texto enormes con facilidad. La mayoría de
Ustedes tendrán requisitos de ruteo bastante simple, algunos de Ustedes no. Sólo cubriremos algunas cosas
fundamentales básicas acerca del ruteo. Si está interesado en información más detallada, entonces le sugerimos
que consulte las referencias provistas al principio del documento.
Comencemos con una definición. ¿Qué es el ruteo de IP? Aquí está la que utilizamos:
“El ruteo de IP es el proceso por el cual un host con múltiples conexiones de red decide dónde enviar los
datagramas IP que ha recibido.”
181
Puede resultar útil ilustrar esto con un ejemplo. Imagine un router típico de oficina, puede tener un vínculo
PPP con la Internet, una cantidad de segmentos Ethernet alimentando las estaciones de trabajo y otro vínculo
PPP con otra oficina. Cuando el router recibe un datagrama en cualquiera de sus conexiones de red, el ruteo es
el mecanismo que utiliza para determinar cuál es la próxima interfaz a la que debería enviar dicho datagrama.
Los hosts simples también necesitan rutear, todos los hosts de la Internet tienen dos dispositivos de red, uno
es la interfaz loopback descrita arriba y el otro es el que utiliza para comunicarse con el resto de la red, tal vez
una interfaz Ethernet, una PPP, una SLIP o una serie.
Bien, ¿entonces cómo funciona el ruteo? Cada host mantiene una lista especial de reglas de ruteo, denominada
“tabla de ruteo”. Esta tabla contiene filas que, típicamente, contienen al menos tres campos: el primero es una
dirección de destino, el segundo es el nombre de la interfaz a la cual se debe rutear el datagrama, y el tercero
es opcionalmente la dirección IP de otra máquina que llevará el datagrama a su próximo paso a través de la
red. Con GNU/Linux Usted puede ver esta tabla utilizando el comando siguiente:
usuario% cat /proc/net/route
o utilizando cualquiera de los comandos siguientes:

usuario% /sbin/route -n
usuario% netstat -r
El proceso de ruteo es bastante simple: se recibe un datagrama entrante, se examina la dirección de destino
(para quién es) y se compara con cada entrada en la tabla. Se selecciona la entrada que coincide mejor con esa
dirección y se reenvía el datagrama a la interfaz especificada. Si el campo de pasarela está completo, entonces
el datagrama se envía a ese host a través de la interfaz especificada. De lo contrario, se asume que la dirección
de destino se encuentra en la red soportada por la interfaz.
12.4.2.1. ¿Qué hace el programa Routed?

La configuración de ruteo descrita arriba se ajusta mejor para los arreglos de red simples donde sólo hay un
camino posible hacia un destino determinado. Cuando tiene un arreglo de red más complejo, las cosas se
complican un poquito más. Para la mayoría de Ustedes, afortunadamente esto no será un problema.
El problema grande con el “ruteo manual” o “ruteo estático” como se describió es que si falla una máquina o
vínculo en su red, entonces la única manera en la que Usted puede dirigir sus datagramas de otra forma, si es
que existe otra forma, es interviniendo y ejecutando los comandos apropiados manualmente. Naturalmente,
esto es poco eficiente, lento, poco práctico y tendiente a generar riesgos. Se han desarrollado varias técnicas
para ajustar las tablas de ruteo automáticamente en caso de fallas de la red donde existen rutas alternativas.
Todas estas técnicas se agrupan ligeramente bajo el término “protocolos de ruteo dinámico”.
Usted puede haber escuchado de algunos de los protocolos de ruteo dinámico más comunes. Los más comu-
nes probablemente sean RIP (Routing Information Protocol, Protocolo de información de ruteo) y OSPF (Open
Shortest Path First Protocol, Protocolo del camino abierto más corto primero). RIP es muy común en redes pe-
queñas tales como las redes corporativas pequeñas o medianas o las redes dentro de edificios. OSPF es más
moderno y más capaz de manejar configuraciones de redes grandes y más apto para entornos donde hay una
gran cantidad de caminos posibles a través de la red. Las implementaciones comunes de estos protocolos son:
routed – RIP y gated - RIP, OSPF y otros. Normalmente el programa routed se suministra con su distribución
GNU/Linux o está incluido en el paquete “NetKit” detallado arriba.
Un ejemplo de donde y como Usted podría utilizar un protocolo de ruteo dinámico se puede parecer a la
Figura 12-1.
182
A B eth0
eth0
192.168.2.0
192.168.1.0 255.255.255.0
255.255.255.0
ppp0 ppp0
ppp1
ppp1
ppp0 ppp1
C eth0
192.168.3.0
255.255.255.0
Figura 12-1. Un ejemplo de ruteo dinámico
Tenemos tres routers A, B y C. Cada uno soporta un segmento Ethernet con una red IP de Clase C (máscara de
red 255.255.255.0). Cada router también tiene un vínculo PPP con alguno de los otros routers. La red forma
un triángulo.
Debería resultar claro que la tabla de ruteo del router A podría ser algo así como:
root# route add -net 192.168.1.0 netmask 255.255.255.0 eth0
root# route add -net 192.168.2.0 netmask 255.255.255.0 ppp0
root# route add -net 192.168.3.0 netmask 255.255.255.0 ppp1
Esto debería funcionar bien simplemente hasta que el vínculo entre el router A y el B falle. Si ese vínculo
fallase, entonces con la entrada de ruteo mostrada arriba, los hosts sobre el segmento Ethernet de A no pueden
alcanzar a los hosts sobre el segmento Ethernet de B porque su datagrama debería enviarse al vínculo ppp0
del router A el cual está roto. Todavía podrían continuar conversando con los hosts en el segmento Ethernet de
C y los hosts sobre el segmento Ethernet de C todavía podrían conversar con los hosts en el segmento Ethernet
de B porque el vínculo entre B y C todavía está intacto.
Pero, espere. Si A puede hablar con C y C todavía puede hablar con B, ¿por qué A no debería rutear sus
datagramas para B a través de C y dejar que C los envíe a B? Esta es exactamente la clase de problemas para
los que se diseñaron los protocolos de ruteo dinámico como RIP. Si cada uno de los routers A, B y C estuvieran
corriendo un demonio de ruteo, entonces sus tablas de ruteo se ajustarían automáticamente para reflejar el
nuevo estado de la red en el caso que alguno de los vínculos de la red falle. La configuración de tal red es
simple, en cada router sólo necesita hacer dos cosas. En este caso, para el router A:
root# /usr/sbin/routed
El demonio de ruteo routed encuentra todos los puertos de red activos automáticamente cuando se inicia y
envía y escucha mensajes en cada uno de los dispositivos de red para permitirle determinar y actualizar la
tabla de ruteo sobre el host.
Esta ha sido una explicación muy breve sobre el ruteo dinámico y donde debería utilizarlo. Si desea más
información entonces deberá consultar la lista de referencias sugeridas el comienzo del documento.
Los puntos importantes relacionados con el ruteo dinámico son:
183
1. Sólo necesita correr un demonio de protocolo de ruteo dinámico cuando su máquina GNU/Linux tiene la
posibilidad de seleccionar múltiples rutas posibles hacia un destino. Un ejemplo de esto sería si planifica
utilizar enmascarado de IP.
2. El demonio de ruteo dinámico modificará automáticamente su tabla de ruteo para ajustarse a los cambios
en su red.
3. RIP es apto para redes pequeñas a medianas.
12.5. Información sobre Ethernet

Esta sección cubre información específica para Ethernet y la configuración de las tarjetas Ethernet.
12.5.1. Tarjetas Ethernet soportadas
12.5.1.1. 3Com
• 3Com 3c501 - (evítelas como a la plaga) (controlador 3c501);

• 3Com 3c503 (controlador 3c503), 3c505 (controlador 3c505), 3c507 (controlador 3c507), 3c509/3c509B (ISA)
/ 3c579 (EISA);
• 3Com Etherlink III Vortex (3c590, 3c592, 3c595, 3c597) (PCI), 3Com Etherlink XL Boomerang (3c900, 3c905)
(PCI) y Cyclone (3c905B, 3c980) (controlador 3c59x) y 3Com Fast EtherLink (3c515) (ISA) (controlador
3c515);
• 3Com 3ccfe575 Cyclone Cardbus (controlador 3c59x);
• 3Com serie 3c575 Cardbus (controlador 3c59x) (se deberían detectar la mayoría de las tarjetas PCMCIA)
12.5.1.2. AMD, ATT, Allied Telesis, Ansel, Apricot
• AMD LANCE (79C960) / PCnet-ISA/PCI (AT1500, HP J2405A, NE1500/NE2100);

• ATT GIS WaveLAN;
• Allied Telesis AT1700;
• Allied Telesis LA100PCI-T;
• Allied Telesyn AT2400T/BT (módulo “ne”);
• Ansel Communications AC3200 (EISA);
• Apricot Xen-II / 82596.
12.5.1.3. Cabletron, Cogent, Crystal LAN
• Cabletron E21xx;
• Cogent EM110;
• Crystal LAN CS8920, Cs8900.
184
12.5.1.4. Danpex, DEC, Digi, DLink
• Danpex EN-9400;
• DEC DE425 (EISA) / DE434/DE435 (PCI) / DE450/DE500 (controlador DE4x5);
• DEC DE450/DE500-XA (dc21x4x) (controlador Tulip);
• DEC DEPCA y EtherWORKS;
• DEC EtherWORKS 3 (DE203, DE204, DE205);
• DECchip DC21x4x “Tulip”;
• DEC QSilver (controlador Tulip);
• Digi International RightSwitch;
• DLink DE-220P, DE-528CT, DE-530+, DFE-500TX, DFE-530TX.
12.5.1.5. Fujitsu, HP, ICL, Intel
• Fujitsu FMV-181/182/183/184;
• HP PCLAN (27245 y la serie 27xxx);
• HP PCLAN PLUS (27247B y 27252A);
• HP 10/100VG PCLAN (J2577, J2573, 27248B, J2585) (ISA/EISA/PCI);
• ICL EtherTeam 16i / 32 (EISA);
• Intel EtherExpress;
• Intel EtherExpress Pro.
12.5.1.6. KTI, Macromate, NCR NE2000/1000, Netgear, New Media
• KTI ET16/P-D2, ET16/P-DC ISA (trabaja sin jumpers y con la opción de configuración por hardware);
• Macromate MN-220P (modo PnP o NE2000);
• NCR WaveLAN;
• NE2000/NE1000 (tenga cuidado con los clones);
• Netgear FA-310TX (chip Tulip);
• New Media Ethernet.
12.5.1.7. PureData, SEEQ, SMC
• PureData PDUC8028, PDI8023;

• SEEQ 8005;
• SMC Ultra / EtherEZ (ISA);
• SMC serie 9000;
• SMC PCI EtherPower 10/100 (controlador DEC Tulip);
• SMC EtherPower II (controlador epic100.c).
185
12.5.1.8. Sun Lance, Sun Intel, Schneider, WD, Zenith, IBM, Enyx
• adpatadores Sun LANCE (núcleo 2.2 y posteriores);

• adaptadores Sun Intel (núcleo 2.2 y posteriores);
• Schneider & Koch G16;
• Western Digital WD80x3;
• Zenith Z-Note / controlador incorporado en la IBM ThinkPad 300;
• Znyx 312 etherarray (controlador Tulip);
12.5.2. Información general sobre Ethernet

Los nombres de los dispositivos Ethernet son eth0, eth1, eth2, etc. A la primer tarjeta detectada por el núcleo
se le asigna eth0 y el resto se asigna secuencialmente en el orden en el cual se detectan.
Una vez que Usted tiene a su núcleo construido adecuadamente para soportar su tarjeta Ethernet la configu-
ración de la tarjeta es fácil.
Típicamente, Usted usará algo como (la mayoría de las distribuciones lo hacen por Usted si las configuró para
soportar su tarjeta Ethernet):
root# ifconfig eth0 192.168.0.1 netmask 255.255.255.0 up
La mayoría de los controladores Ethernet fueron desarrollados por Donald Becker (mailto:becker@CESDIS.
gsfc.nasa.gov).
12.5.3. Usando dos o más tarjetas Ethernet en la misma máquina

Típicamente el módulo del controlador puede detectar todas las tarjetas instaladas.
La información sobre la detección se almacena en el archivo /etc/conf.modules.
Considere que un usuario tiene 3 tarjetas NE2000, una en 0x300, una en 0x240, y una en 0x220. Usted agregaría
las líneas siguientes al archivo /etc/conf.modules:
alias eth0 ne
alias eth1 ne
alias eth2 ne
options ne io=0x220,0x240,0x300
Lo que hace esto es decirle al programa modprobe que busque 3 tarjetas basadas en NE en las direcciones que
siguen. También dice en qué orden se deberían encontrar y el dispositivo al cual se deberían asignar.
La mayoría de los módulos ISA pueden tomar valores de E/S separados por comas. Por ejemplo:
alias eth0 3c501
alias eth1 3c501
options eth0 -o 3c501-0 io=0x280 irq=5
options eth1 -o 3c501-1 io=0x300 irq=7
La opción -o permite que se asigne un nombre único a cada módulo. La razón para esto es que Usted no puede
tener cargadas dos copias del mismo módulo.
La opción irq= se usa para especificar la IRQ del hardware y la opción io= para especificar los distintos
puertos de E/S.
Predeterminadamente, el núcleo de GNU/Linux sólo prueba un dispositivo Ethernet, Usted necesita pasarle al
núcleo argumentos de línea de comandos para forzar la detección de más tarjetas.
186
Para aprender cómo hacer que su(s) tarjeta(s) Ethernet funcione(n) bajo GNU/Linux debería consultar el COMO
sobre Ethernet (http://linuxdoc.org/HOWTO/Ethernet-HOWTO.html).
12.6. Información relacionada con IP

Estas secciones cubren información específica a IP.
12.6.1. DNS
DNS significa Domain Name System (Sistema de Nombres de Dominio). Es el sistema responsable de hacer
corresponder el nombre de una máquina como www.mandrakesoft.com con la dirección IP de dicha máqui-
na, 216.71.116.162 en este caso, al momento de escribir este documento. Con DNS la correspondencia está
disponible en ambas direcciones; del nombre a la dirección IP y viceversa.
El DNS se compone de una gran cantidad de máquinas por toda la Internet que son responsables de una
cierta cantidad de nombres. A cada máquina se le atribuye un servidor DNS al cual le pueden pedir que
haga corresponder un nombre en particular con la dirección del mismo. Si ese servidor no tiene la respuesta,
entonces le pregunta a otro y así sucesivamente. También puede tener un DNS local responsable de hacer
coincidir direcciones en su red LAN.
Podemos diferenciar entre dos clases de DNS: servidor DNS de caché y servidor DNS maestro. El primero sólo
“recuerda” una petición anterior y luego puede contestarla sin preguntar otra vez a un servidor DNS maestro.
Los servidores de la última clase son los verdaderos responsables como último recurso de hacer coincidir una
dirección con un nombre – o posiblemente decir que este nombre no se corresponde con dirección alguna.
12.6.2. DHCP y DHCPd

DHCP es un acrónimo para Dynamic Host Configuration Protocol (Protocolo de configuración dinámica del
host). La creación de DHCP ha hecho que sea extremadamente simple la configuración de la red en múltiples
hosts. En vez de tener que configurar cada host por separado, Usted puede asignar todos los parámetros
utilizados comúnmente por los hosts utilizando un servidor DHCP.
Cada vez que el host arranca difundirá un paquete a la red. Este paquete es una llamada a cualquier servidor
DHCP que se encuentre en el mismo segmento para que configure al host.
DHCP es extremadamente útil en la asignación de elementos tales como la dirección IP, la máscara de red, y
la pasarela de cada host.
12.7. Utilizando hardware común de PC
12.7.1. RDSI
La Red Digital de Servicios Integrados (RDSI, o ISDN por Integrated Services Digital Network es una serie de
normas que especifican una red digital de datos conmutada de propósito general. Una “llamada” RDSI crea
un servicio sincrónico de datos punto a punto con el destino. Por lo general, RDSI se entrega sobre un vínculo
de alta velocidad que se divide en una cantidad de canales discretos. Hay dos tipos de canales diferentes.
Los “Canales B” que son los que realmente transportan los datos del usuario y un único canal denominado
“Canal D” que se usa para enviar información de control al intercambio RDSI, para establecer llamadas y para
otras funciones de control. Por ejemplo, en Australia, se puede entregar RDSI en un vínculo de 2Mbps que se
divide en 30 canales B discretos de 64Kbps con un canal D de 64Kbps. Se puede usar cualquier cantidad de
canales a la vez y en cualquier combinación. Usted puede, por ejemplo, establecer 30 llamadas separadas a
30 destinos diferentes a 64Kbps cada una, o puede establecer 15 llamadas a 15 destinos diferentes a 128Kbps
(cada llamada usa dos canales), o simplemente hacer una cantidad pequeña de llamadas y dejar el resto ocioso.
Un canal puede usarse tanto para llamadas entrantes como para llamadas salientes. La intención original de
RDSI era permitir que las compañías de telecomunicaciones (las telefónicas, por ejemplo) proporcionen un
único servicio de datos que podía entregar ya sea servicio telefónico (mediante la digitalización de la voz) o
servicios de datos a su hogar o negocio, sin necesidad de que Usted haga cambios de configuración especiales
en sus instalaciones.
187
Existen algunas maneras diferentes de conectar a su computadora a un servicio RDSI. Una forma es usar
un dispositivo denominado “Adaptador de Terminal” que se conecta a la Unidad Terminadora de Red que
su proveedor de telecomunicaciones habrá instalado cuando Usted obtuvo su servicio RDSI y presenta una
cantidad de interfaces serie. Una de esas interfaces se usa para ingresar comandos para establecer las llamadas
que usarán a los circuitos de datos cuando se establezcan las mismas. GNU/Linux funcionará con esta clase de
configuración sin modificación, simplemente Usted trata al puerto en el Adaptador de Terminal como trataría
a cualquier otro dispositivo serie. Otra forma, que es la forma para la que está diseñado el soporte RDSI en
el núcleo, le permite instalar una tarjeta RDSI en su máquina GNU/Linux y entonces hace que su software
GNU/Linux maneje los protocolos y haga las llamadas por sí mismo.
Opciones de compilación del núcleo:
ISDN subsystem --->
<*> ISDN support
[ ] Support synchronous PPP
[ ] Support audio via ISDN
< > ICN 2B and 4B support
< > PCBIT-D support
< > Teles/NICCY1016PC/Creatix support
La implementación de RDSI de GNU/Linux soporta una cantidad de tipos diferentes de tarjetas RDSI internas.
Estas son las que se listan en las opciones de configuración del núcleo:
• ICN 2B y 4B;
• Octal PCBIT-D;
• Tarjetas RDSI Teles y compatibles.
Algunas de estas tarjetas necesitan que se les baje un software para poder operar. Existe un utilitario aparte
con el cual se hace esto.
Están disponibles detalles completos sobre como configurar el soporte para RDSI en GNU/Linux en el di-
rectorio /usr/src/linux/Documentation/isdn/ y en una FAQ dedicada a isdn4linux que está disponible
en www.lrz-muenchen.de (http://www.lrz-muenchen.de/~ui161ab/www/isdn/). (Puede hacer clic sobre la
bandera inglesa para obtener una versión en inglés).
Acerca de PPP. El conjunto de protocolos PPP operará ya sea so-

bre lı́neas serie sincrónicas o asincrónicas. el demonio PPP común-
mente distribuido con GNU/Linux , pppd, sólo soporta el modo
asincrónico. Si Usted desea correr los protocolos PPP sobre su servi-
cio RDSI necesita una versión modificada especialmente. Los deta-
lles sobre donde encontrarla están disponibles en la documentación
referida arriba.
12.7.2. PLIP
Durante el desarrollo de las versiones 2.1 del núcleo, el soporte para el puerto paralelo se cambió a una
configuración mejor.
General setup --->
[*] Parallel port support
Network device support --->
<*> PLIP (parallel port) support
188
El código nuevo para PLIP se comporta como el viejo (usa los mismos comandos ifconfig y route como en
la sección previa, pero la inicialización del dispositivo es diferente debido al soporte para el puerto paralelo
avanzado.
El “primer” dispositivo PLIP siempre se denomina plip0, donde primero es el primer dispositivo detectado
por el sistema, de forma similar a lo que ocurre con los dispositivos Ethernet. El puerto paralelo real que se
usa es uno de los puertos disponibles, como se muestra en /proc/parport. Por ejemplo, si Usted sólo tiene un
puerto paralelo, sólo tendrá un directorio denominado /proc/parport/0.
Si su núcleo no detectó el número de IRQ usado por su puerto, insmod plip fallará; en este caso, simplemente
escriba el número adecuado en /proc/parport/0/irq y vuelva a invocar a insmod.
Está disponible información completa sobre la administración del puerto paralelo en el archivo Documentation/
parport.txt, que es parte del código fuente de su núcleo.
12.7.3. PPP
Debido a la naturaleza, el tamaño y la complejidad de PPP, este ha sido movido a su propio COMO . El COMO so-
bre PPP todavía es un documento del Proyecto de documentación de Linux (http://www.linuxdoc.org) pero
la página oficial del mismo está en el sitio web thelinuxreview.com (http://www.thelinuxreview.com), sec-
ción PPP (http://www.thelinuxreview.com/howto/ppp).
12.8. Otras tecnologı́as de red

Las sub-secciones siguientes son específicas de tecnologías de red particulares. La información que contienen
dichas secciones no se aplica necesariamente a cualquier otro tipo de tecnología de red. Los temas se ordenan
alfabéticamente.
12.8.1. ARCNet
Los nombres de dispositivo ARCNet son arc0e, arc1e, arc2e etc. o arc0s, arc1s, arc2s etc. El núcleo asigna
arc0e o arc0s a la primer tarjeta detectada y el resto se asigna secuencialmente en el orden en que se detectan.
La letra al final significa si Usted ha seleccionado el formato de paquetes de encapsulamiento Ethernet o el
formato de paquetes RFC1051.
[*] Network device support
<*> ARCnet support
[ ] Enable arc0e (ARCnet "Ether-Encap" packet format)
[ ] Enable arc0s (ARCnet RFC1051 packet format)
Una vez que tiene construido su núcleo adecuadamente para soportar su tarjeta Ethernet entonces es fácil la
configuración de la tarjeta.
Típicamente Usted utilizará algo como:
root# ifconfig arc0e 192.168.0.1 netmask 255.255.255.0 up

root# route add -net 192.168.0.0 netmask 255.255.255.0 arc0e
Por favor consulte los archivos /usr/src/linux/Documentation/networking/arcnet.txt y /usr/src/

linux/Documentation/networking/arcnet-hardware.txt para más información.
El soporte de ARCNet fue desarrollado por Avery Pennarun, apenwarr@foxnet.net.
189
12.8.2. Appletalk (AF APPLETALK)

El soporte Appletalk no tiene nombres de dispositivo especiales ya que usa los dispositivos de red existentes.
Networking options --->
<*> Appletalk DDP
El soporte Appletalk le permite a su máquina GNU/Linux operar en conjunto con con redes Apple. Un uso
importante para esto es compartir recursos tales como impresoras y discos entre sus computadoras Apple y
GNU/Linux . Se necesita software adicional denominado netatalk. Wesley Craig netatalk@umich.edu repre-
senta un equipo denominado el “Grupo Unix de Investigación de Sistemas” en la Universidad de Michi-
gan y han producido el paquete netatalk que brinda software que implementa la pila del protocolo Apple-
talk y algunos programas útiles. El paquete netatalk debería haber sido proporcionado con su distribución
GNU/Linux o tendrá que bajarlo por FTP desde la página web del mismo en la Universidad de Michigan
(ftp://terminator.rs.itd.umich.edu/unix/netatalk/).
Para construir e instalar el paquete, Usted debería hacer:
usuario% tar xvfz .../netatalk-1.4b2.tar.Z

ususario% make
root# make install
Usted puede querer editar el archivo Makefile antes de invocar a make para compilar el software. Específica-
mente, podría querer cambiar la variable DESTDIR que define dónde se instalarán luego los archivos. El valor
predeterminado, /usr/local/atalk, es bastante seguro.
12.8.2.1. Configurando el software Appletalk

La primer cosa que necesita hacer para que todo funcione es asegurarse que están presentes las entradas
apropiadas en el archivo /etc/services. Las entradas que necesita son:
rtmp 1/ddp # Routing Table Maintenance Protocol

nbp 2/ddp # Name Binding Protocol
echo 4/ddp # AppleTalk Echo Protocol
zip 6/ddp # Zone Information Protocol
El paso siguiente es crear los archivos de configuración de Appletalk en el directorio /usr/local/atalk/etc (o

donde haya instalado el paquete).
El primer archivo a crear es /usr/local/atalk/etc/atalkd.conf. Inicialmente, este archivo sólo necesita una
línea que da el nombre del dispositivo de red que soporta la red sobre la que están sus máquinas Apple:
eth0
El programa demonio Appletalk añadirá detalles extra una vez que se ejecute.
190
12.8.2.2. Exportando un sistema de archivos Linux por medio de Appletalk

Puede exportar sistemas de archivo de su máquina Linux a la red de forma tal que las máquinas Apple de
dicha red puedan compartirlos.
Para esto debe configurar el archivo /usr/local/atalk/etc/AppleVolumes.system. Hay otro archivo de con-
figuración denominado /usr/local/atalk/etc/AppleVolumes.default que tiene exactamente el mismo for-
mato y describe cuales son los sistemas de archivo que recibirán los usuarios que se conectan con privilegios
de invitado.
Se pueden encontrar detalles completos sobre la configuración de estos archivos y las distintas opciones en la
página Man de afpd: afpd.
Un ejemplo simple podría lucir así:
/tmp Scratch
/home/ftp/pub "Área pública"
... que exportaría su sistema de archivos /tmp como un volumen AppleShare denominado “Scratch” y su
directorio FTP público como un volumen AppleShare denominado “Área pública”. Los nombres de volumen
no son obligatorios, el demonio escogerá alguno por Usted, pero no causará daño alguno si los especifica.
12.8.2.3. Compartiendo su impresora Linux por medio de Appletalk

Puede compartir su impresora GNU/Linux con máquinas Apple de manera bastante simple. Necesita ejecutar
el programa papd que es un servidor del Protocolo de acceso a impresoras Appletalk. Cuando ejecute este
programa, el mismo aceptará los pedidos de sus máquinas Apple y pondrá los trabajos de impresión en la
cola de su demonio de impresión local para que se impriman.
Debe editar el archivo /usr/local/atalk/etc/papd.conf para configurar el demonio. La sintaxis de este
archivo es la misma que la de su archivo /etc/printcap usual. El nombre que le da a la definición se registra
con el protocolo de nombres de Appletalk, NBP.
Una configuración de ejemplo podría lucir así:
TricWriter:\
:pr=lp:op=cg:
... que haría que una impresora denominada “TricWriter” esté disponible en su red Appletalk, y todos los
trabajos aceptados se imprimirían directamente en la impresora Linux lp (como esté definida en el archivo
/etc/printcap), utilizando CUPS . La entrada op=cg dice que el usuario Linux cg es el operador de la impre-
sora.
12.8.2.4. Iniciando el software Appletalk

Bien, ahora debería estar listo para probar esta configuración básica. Hay un archivo rc.atalk que se sumi-
nistra con el paquete netatalk que debería funcionar bien, entonces todo lo que tiene que hacer es:
root# /usr/local/atalk/etc/rc.atalk
... y todo debería iniciar y ejecutar correctamente. No debería ver mensajes de error y el software enviará los
mensajes a la consola indicando cada etapa a medida que se inicia.
191
12.8.2.5. Probando el software Appletalk

Para probar que el software está funcionando adecuadamente, vaya a una de sus máquinas Apple, despliegue
el menú Apple, seleccione el Chooser, haga clic sobre AppleShare, y debería aparecer su máquina GNU/Linux .
12.8.2.6. Contras del software Appletalk
1. Puede necesitar iniciar el soporte para Appletalk antes de configurar su red IP. Si tiene problemas ini-
ciando los programas Appletalk, o si después que los inició tiene problemas con su red IP, entonces debe
intentar iniciar el software Appletalk antes de ejecutar su archivo /etc/rc.d/rc.inet1.
2. afpd (Apple Filing Protocol Daemon, Demonio del protocolo de archivado de Apple) daña severamente
su disco rígido. Debajo de los puntos de montaje, el mismo crea una serie de directorios denominados
.AppleDesktop y NetworkTrashFolder. Luego, para cada directorio que Usted accede, creará un archi-
vo .AppleDouble debajo del mismo de forma tal que pueda almacenar recursos, etc. Por lo tanto, debe
pensarlo dos veces antes de exportar /, luego pasará mucho tiempo haciendo limpieza.
3. El programa afpd espera contraseñas textuales de las Mac. La seguridad podría ser un problema, por lo
que debe tener cuidado cuando ejecute este demonio en una máquina conectada a la Internet. Tiene que
culparse a Usted mismo si alguien malintencionado hace cosas malas.
4. Las herramientas de diagnóstico existentes como netstat e ifconfig no soportan Appletalk. La información
“en crudo” está disponible en el directorio /proc/net/ si es que la necesita.
12.8.2.7. Más información

Para una descripción mucho más detallada de como configurar Appletalk para GNU/Linux consulte la página
del Linux Netatalk-HOWTO para GNU/Linux de Anders Brownworth en el sitio web TheHamptons punto com
(http://thehamptons.com/anders/netatalk/).
12.8.3. ATM
Werner Almesberger <werner.almesberger@lrc.di.epfl.ch> administra un proyecto cuyo objetivo es brin-
dar el soporte para ATM (Asynchronous Transfer Mode – Modo de transferencia asincrónico) para GNU/Linux .
Se puede obtener información sobre el estado corriente del proyecto en el sitio web de ATM en Linux
(http://linux-atm.sourceforge.net/).
12.8.4. AX25 (AF AX25)

Los nombres de dispositivo de AX.25 son sl0, sl1, etc. en los núcleos 2.0.* o ax0, ax1, etc. en los núcleos
2.1.*.
[*] Amateur Radio AX.25 Level 2
Los protocolos AX25, Netrom y Rose se cubren en el COMO sobre AX25 (http://linuxdoc.org/HOWTO/
AX25-HOWTO.html). Estos protocolos son utilizados por los operadores de radio aficionado de todo el mun-
do en experimentación de transmisión de paquetes por radio.
La mayoría del trabajo de implementación de estos protocolos ha sido realizada por Jonathon Naylor,
jsn@cs.nott.ac.uk, y ahora es Jeff Tranter (tranter@pobox.com) quien mantiene el COMO .
192
12.8.5. DECNet
El núcleo estable corriente (2.4) incluye soporte para DECNet. Con Mandrake Linux ha estado disponible
desde el núcleo 2.2.
12.8.6. FDDI
Los nombres de dispositivo de FDDI son fddi0, fddi1, fddi2 etc. El núcleo asigna fddi0 a la primer tarjeta
que detecte y el resto se asigna secuencialmente en el orden que se detectan.
Larry Stefani, lstefani@ultranet.com, ha desarrollado un controlador para las tarjetas FDDI EISA y PCI.
[*] FDDI driver support
[*] Digital DEFEA and DEFPA adapter support
Si su núcleo está construido para soportar el controlador FDDI y está instalado, la configuración de la interfaz
FDDI es casi idéntica a la de una interfaz Ethernet. Simplemente especifique el nombre apropiado de interfaz
FDDI en los comandos ifconfig y route.
12.8.7. Relevo de tramas

Los nombres de dispositivo de Relevo de tramas son dlci00, dlci01, etc. para los dispositivos de encapsula-
miento DLCI y sdla0, sdla1, etc. para los FRAD(s).
El Relevo de tramas es una tecnología de red nueva que está diseñada para ajustarse al tráfico de comunica-
ciones de datos que es de naturaleza intermitente o “por ráfagas”. Se conecta a una red de Relevo de tramas
utilizando un Frame Relay Access Device (Dispositivo de acceso al relevo de tramas o FRAD). El relevo de tramas
de GNU/Linux soporta IP sobre Relevo de tramas como se describe en RFC1490.
<*> Frame relay DLCI support (EXPERIMENTAL)
(24) Max open DLCI
(8) Max DLCI per device
<*> SDLA (Sangoma S502/S508) support
Mike McLagan, mike.mclagan@linux.org, desarrolló el soporte y las herramientas de configuración para Re-
levo de tramas.
Corrientemente, los únicos FRADs que sabemos que están soportados son S502A, S502E y S508 de San-
goma Technologies (http://www.sangoma.com/) así como también los de Emerging Technologies (http:
//www.etinc.com/).
Para configurar los dispositivos FRAD y DLCI luego que ha reconstruido su núcleo, necesitará las herramien-
tas de configuración de Relevo de tramas. Estas están disponibles en ftp.invlogic.com (ftp://ftp.invlogic.
com/pub/linux/fr/).
La compilación e instalación de las herramientas es simple, pero la falta de un archivo Makefile de nivel
superior hace que el proceso sea bastante manual:
usuario% tar xvfz .../frad-0.15.tgz

usuario% cd frad-0.15
usuario% for i in common dlci frad; make -C $i clean; make -C $i; done
root# mkdir /etc/frad
root# install -m 644 -o root -g root bin/*.sfm /etc/frad
root# install -m 700 -o root -g root frad/fradcfg /sbin
root# install -m 700 -o root -g root dlci/dlcicfg /sbin
193
Note que los comandos previos utilizan la sintaxis de sh, si usted utiliza csh (por ejemplo tcsh), el bucle for
tendrá una apariencia distinta.
Luego de instalar las herramientas, necesita crear un archivo /etc/frad/router.conf. Puede usar esta plan-
tilla, que es una versión modificada de uno de los archivos de ejemplo:
# /etc/frad/router.conf
# Esta es una plantilla de configuración para Relevo de tramas.
# Se incluyen todas las etiquetas. Los valores por defecto están
# basados en el código que se suministra con los controladores
# para
# DOS de la tarjeta Sangoma S502A.
#
# Un ’#’ en cualquier lugar de una lı́nea es un comentario
# Los blancos se ignoran (también puede indentar con Tab)
# Las entradas [] desconocidas y las claves desconocidas se ignoran
#
[Devices]
Count=1 # cantidad de dispositivos a configurar
Dev_1=sdla0 # el nombre de un dispositivo
#Dev_2=sdla1 # el nombre de un dispositivo
# Estos se aplican a todos los dispositivos y pueden ignorarse

# para cada tarjeta individual.
#
Access=CPE
Clock=Internal
KBaud=64
Flags=TX
#
# MTU=1500 # long. máx de transm. de trama, predet. 4096
# T391=10 # valor T391 5 - 30, predet. 10
# T392=15 # valor T392 5 - 30, predet. 15
# N391=6 # valor N391 1 - 255, predet. 6
# N392=3 # valor N392 1 - 10, predet. 3
# N393=4 # valor N393 1 - 10, predet. 4
# Estos configuran los predeterminados para todas las tarjetas

# CIRfwd=16 # CIR forward 1 - 64
# Bc_fwd=16 # Bc forward 1 - 512
# Be_fwd=0 # Be forward 0 - 511
# CIRbak=16 # CIR backward 1 - 64
# Bc_bak=16 # Bc backward 1 - 512
# Be_bak=0 # Be backward 0 - 511
#
#
# Configuración especı́fica del dispositivo
#
#
#
# El primer dispositivo es un Sangoma S502E
#
[sdla0]
Type=Sangoma # Tipo de dispositivo a conifgurar, por
# el momento sólo se reconoce SANGOMA
#
# Estas claves son especı́ficas al tipo ’Sangoma’
#
# El tipo de tarjeta Sangoma - S502A, S502E, S508
Board=S502E
#
# El nombre del firmware de prueba para la tarjeta Sangoma
# Testware=/usr/src/frad-0.10/bin/sdla_tst.502
#
# El nombre del firmware FR
# Firmware=/usr/src/frad-0.10/bin/frm_rel.502
#
Port=360 # Puerto para esta tarjeta particular
Mem=C8 # Ventana de dirección de mem, A0-EE,
# depende de la tarjeta
194
IRQ=5 # IRQ, no es necesario para S502A

DLCIs=1 # Cantidad de DLCI de este dispositivo
DLCI_1=16 # Número DLCI #1, 16 - 991
# DLCI_2=17
# DLCI_3=18
# DLCI_4=19
# DLCI_5=20
#
# Esto sólo se aplica a este dispositivo e ignora los valores
# predeterminados de arriba
#
# Access=CPE # CPE o NODE, predet. CPE
# Flags=TXIgnore,RXIgnore,BufferFrames,DropAborted,Stats,MCI,AutoDLCI
# Clock=Internal # External o Internal, predet. Internal
# Baud=128 # Tasa de baud del CSU/DSU conectado
# MTU=2048 # long. máx. de transm., predet. 4096
# T391=10 # valor T391 5 - 30, predet. 10
# T392=15 # valor T392 5 - 30, predet. 15
# N391=6 # valor N391 1 - 255, predet. 6
# N392=3 # valor N392 1 - 10, predet. 3
# N393=4 # valor N393 1 - 10, predet. 4
#
# El segundo dispositivo es alguna otra tarjeta
#
# [sdla1]
# Type=FancyCard # Tipo de dispositivo a configurar
# Board= # Tipo de tarjeta Sangoma
# Key=Value # valores especı́ficos a este tipo de dispositivo
#
# Parámetros predeterminados de configuración DLCI
# Se pueden obviar en las configuraciones especı́ficas de DLCI
#
CIRfwd=64 # CIR forward 1 - 64
# Bc_fwd=16 # Bc forward 1 - 512
# Be_fwd=0 # Be forward 0 - 511
# CIRbak=16 # CIR backward 1 - 64
# Bc_bak=16 # Bc backward 1 - 512
# Be_bak=0 # Be backward 0 - 511
#
# Configuración de DLCI
# Todos estos son opcionales. La convención de nombrado es
# [DLCI_D<numdispositivo>_<Num_DLCI>]
#
[DLCI_D1_16]
# IP=
# Net=
# Mask=
# Flags definidos por Sangoma: TXIgnore,RXIgnore,BufferFrames
# DLCIFlags=TXIgnore,RXIgnore,BufferFrames
# CIRfwd=64
# Bc_fwd=512
# Be_fwd=0
# CIRbak=64
# Bc_bak=512
# Be_bak=0
[DLCI_D2_16]
# IP=
# Net=
# Mask=
# Flags definidos por Sangoma: TXIgnore,RXIgnore,BufferFrames
# DLCIFlags=TXIgnore,RXIgnore,BufferFrames
# CIRfwd=16
# Bc_fwd=16
# Be_fwd=0
# CIRbak=16
# Bc_bak=16
# Be_bak=0
195
Cuando ha construido su archivo /etc/frad/router.conf, sólo falta el paso de configuración de los dispo-
sitivos propiamente dichos. Esto es sólo un poquito más complicado que la configuración de un dispositivo
normal de red, debe recordar de activar el dispositivo FRAD antes que los dispositivos de encapsulado DLCI.
Es mejor poner a estos comandos en un script del shell debido a la cantidad de los mismos:
#!/bin/sh
# Configurar el hardware FRAD y los parámetros DLCI
/sbin/fradcfg /etc/frad/router.conf || exit 1
/sbin/dlcicfg file /etc/frad/router.conf
#
# Activar el dispositivo FRAD
ifconfig sdla0 up
#
# Configurar las inerfaces de encapsulado DLCI y el ruteo
ifconfig dlci00 192.168.10.1 pointopoint 192.168.10.2 up
route add -net 192.168.10.0 netmask 255.255.255.0 dlci00
#
ifconfig dlci01 192.168.11.1 pointopoint 192.168.11.2 up
route add -net 192.168.11.0 netmask 255.255.255.0 dlci00
#
route add default dev dlci00
#
12.8.8. IPX (AF IPX)

El protocolo IPX es más utilizado comúnmente en los entornos de red de área local Novell NetWare(TM).
GNU/Linux incluye el soporte para este protocolo y se puede configurar para actuar como un punto de la
red, o como un router para IPX.
[*] The IPX protocol
[ ] Full internal IPX network
El protocolo IPX y el sistema de archivos NCP se cubren con más detalle en el COMO acerca de IPX (http:
//linuxdoc.org/HOWTO/IPX-HOWTO.html).
12.8.9. NetRom (AF NETROM)

Los nombres de dispositivo NetRom son nr0, nr1, etc.
[*] Amateur Radio NET/ROM
jsn@cs.nott.ac.uk.
196
12.8.10. Protocolo Rose (AF ROSE)

Los nombres de dispositivo Rose son rs0, rs1, etc. en los núcleos 2.1.*. Rose está disponible desde los núcleos
2.1.*.
<*> Amateur Radio X.25 PLP (Rose)
jsn@cs.nott.ac.uk.
12.8.11. Samba - soporte para NetBEUI, NetBios, CIFS

Samba es una implementación del protocolo Session Management Block (Bloque de manejo de sesión o SMB).
Permite a Windows y otros sistemas montar y utilizar sus discos e impresoras.
Samba y su configuración se cubre en detalle en el COMO sobre SMB (http://linuxdoc.org/HOWTO/
SMB-HOWTO.html).
12.8.12. Soporte STRIP (Starmode Radio IP)

Los nombres de los dispositivos STRIP son st0, st1, etc.
....
[*] Radio network interfaces
< > STRIP (Metricom starmode radio IP)
STRIP es un protocolo diseñado específicamente para un rango de módems de radio Metricom para un pro-
yecto de investigación que está siendo conducido por la Universidad de Stanford denominado el Proyecto
MosquitoNet (http://mosquitonet.Stanford.edu). Hay un montón de lectura interesante aquí, incluso si
Usted no está directamente interesado en el proyecto.
Las radios Metricom se conectan a un puerto serio, emplean tecnología de espectro amplio y son capaces
típicamente de velocidades del orden de los 100Kbps. En el sitio web de Metricom (http://www.metricom.
com/) está disponible información sobre las radios Metricom.
Metricom fue a bancarrota, pero otra compañı́a podrı́a comprar la

tecnologı́a y volver a activar el sitio web.
Por el momento, las herramientas y utilitarios de red estándar no soportan el controlador STRIP, por lo que
tendrá que bajar algunas herramientas personalizadas del servidor web MosquitoNet. En la página de soft-
ware de MosquitoNet (http://mosquitonet.Stanford.edu/software.html) están disponibles los detalles
del software que necesita.
Un resumen de la configuración es que Usted utilice un programa slattach modificado para configurar la
disciplina de un dispositivo tty serie a STRIP y luego configure el dispositivo st[0-9] resultante como o haría
para Ethernet con una excepción importante: por motivos técnicos STRIP no soporta el protocolo ARP, por lo
que Usted debe configurar manualmente las entradas ARP para cada uno de los hosts de su sub-red. Esto no
debería resultar muy costoso.
197
12.8.13. Token Ring

Los nombres de dispositivos Token Ring son tr0, tr1, etc. Token Ring es un protocolo de red LAN estándar
de IBM que evita las colisiones proporcionando un mecanismo que sólo brinda a una estación en la red LAN
a la vez el derecho de transmitir. Una estación a la vez mantienen un “token” (ficha) y es la estación que
mantiene el token la única estación que puede transmitir. Cuando ha transmitido sus datos, le pasa el token
a la estación siguiente. El token circula por todas las estaciones activas, de aquí el nombre de “Token Ring”
(Anillo de Token).
....
[*] Token Ring driver support
< > IBM Tropic chipset based adaptor support
La configuración de Token Ring es idéntica a la de Ethernet, con la excepción del nombre de dispositivo de
red a configurar.
12.8.14. X.25
X.25 es un protocolo de conmutación de paquetes basado en circuitos definido por ITU-T (La Sección de
Estandarización de las Telecomunicaciones de la International Telecommunications Union – Union Internacional
de Telecomunicaciones, un cuerpo de estándares reconocido por las compañías de telecomunicaciones en la
mayor parte del mundo). Se está trabajando sobre una implementación de X.25 y LAPB y los núcleos recientes
(desde 2.1.*) incluyen el trabajo en progreso.
Jonathon Naylor <jsn@cs.nott.ac.uk> está liderando el desarrollo y se ha establecido una lista de distri-
bución de correos para discutir los temas relacionados con X.25 bajo GNU/Linux . Para suscribirse, envíe un
mensaje a majordomo@vger.rutgers.edu con el texto subscribe linux-x25 en el cuerpo del mensaje.
12.8.15. Tarjeta WaveLan

Los nombres de dispositivo WaveLan son eth0, eth1, etc.
....
[*] Radio network interfaces
....
<*> WaveLAN support
La tarjeta WaveLAN es una tarjeta de red LAN inalámbrica de espectro amplio. La tarjeta se parece mucho a
una tarjeta Ethernet en la práctica, y se configura de manera muy similar.
Puede obtener información sobre la tarjeta WaveLAN en el sitio web ORiNOCCO (http://www.orinocowireless.
com/).
12.9. Cables y cableado

Aquellos de Ustedes que se las arreglan con un soldador pueden desear construir sus propios cables para
interconectar dos máquinas GNU/Linux . Los diagramas de cableado siguiente lo deberían ayudar en esta tarea.
198
12.9.1. Cable NULL-módem serie

No todos los cables NULL-módem son los mismos. Muchos cables NULL-módem pueden hacer poco más
que engañar a su computadora haciéndole creer que todas las señales apropiadas están presentes e intercam-
biando transmitir y recibir datos. Esto está bien pero significa que Usted debe usar el control de flujo por
software (XON/XOFF) el cual es mucho menos eficiente que el control de flujo por hardware. El cable siguiente
proporciona la mejor señalización posible entre las máquinas y le permite usar el control de flujo por hardware
(RTS/CTS).
Nombre Pata Pata

Tx Data 2 3
Rx Data 3 2
RTS 4 5
CTS 5 4
Ground 7 7
DTR 20 8
DSR 6
RLSD/DCD 8 20
6
Figura 12-2. El cableado NULL-módem
12.9.2. Cable de puerto paralelo (Cable PLIP)

Si Usted pretende usar el protocolo PLIP entre dos máquinas entonces este cable funcionará sin importar el
tipo de puerto paralelo que tenga instalado.
Nombre pata pata
STROBE 1*
D0->ERROR 2 ----------- 15
D1->SLCT 3 ----------- 13
D2->PAPOUT 4 ----------- 12
D3->ACK 5 ----------- 10
D4->BUSY 6 ----------- 11
D5 7*
D6 8*
D7 9*
ACK->D3 10 ----------- 5
BUSY->D4 11 ----------- 6
PAPOUT->D2 12 ----------- 4
SLCT->D1 13 ----------- 3
FEED 14*
ERROR->D0 15 ----------- 2
INIT 16*
SLCTIN 17*
GROUND 25 ----------- 25
• No conecte las patas marcadas con un asterisco “*”;

• los contactos de tierra adicionales son las patas
18,19,20,21,22,23 y 24;
• si el cable que Usted está utilizando tiene una malla metá-
lica, la misma deberı́a conectarse al encapsulado metálico
DB-25 sólo en un extremo.
Un cable PLIP cableado incorrectamente puede destruir su tarjeta

controladora. Tenga sumo cuidado y verifique dos veces cada cone-
xión para asegurarse que Usted mismo no se causa algún trabajo o
dolor cardı́aco innecesarios.
199
A pesar que Usted podrá extender cables PLIP sobre distancias largas, debería evitarlo de ser posible. Las
especificaciones para el cable le permiten una longitud del cable de más o menos 1 metro. Por favor, tenga
sumo cuidado cuando extienda cables PLIP largos ya que las fuentes de campos electromagnéticos fuertes,
tales como la luz, las líneas de energía y los transmisores de radio, pueden interferir con, y a veces dañar a,
su controladora. Si Usted realmente desea conectar dos computadoras sobre una distancia larga, en realidad
debería buscar obtener un par de tarjetas thin-Ethernet y extender un cable coaxial.
12.9.3. Cableado Ethernet 10base2 (coaxial fino)

10base2 es un estándar de cableado de Ethernet que especifica el uso de cable coaxial de 50 ohms con un diáme-
tro de aproximadamente 5 milímetros. Hay un par de reglas importantes a recordar cuando se interconectan
máquinas con el cableado 10base2. La primera es que Usted debe usar terminadores en ambos extremos del
cableado. Un terminador es un resistor de 50 ohms que ayuda a asegurarse que la señal se absorbe y no se re-
fleja cuando llega al final del cable. Sin un terminador en cada extremo del cable, Usted puede observar que la
Ethernet no es confiable o no funciona en absoluto. Normalmente Usted utilizará “piezas T” para interconectar
las máquinas, de forma tal que termina teniendo algo que se parece a lo siguiente:
T T T T
Figura 12-3. Cableado Ethernet 10base2
donde la | en cada extremo representa un terminador, ====== representa una longitud de cable coaxial con
conectores BNC en cada extremo y la T representa un conector “pieza T”. Usted debería mantener la longitud
del cable entre la “pieza T” y la tarjeta Ethernet real en la PC lo más corta posible, idealmente la “pieza T”
estará conectada directamente a la tarjeta Ethernet.
12.9.4. Cable Ethernet de par trenzado

Si sólo tiene dos tarjetas Ethernet de par trenzado y desea conectarlas, no necesita un hub. Usted puede
cablear las dos tarjetas directamente entre sí. En el COMO sobre Ethernet (http://linuxdoc.org/HOWTO/
Ethernet-HOWTO.html) se incluye un diagrama que muestra como hacerlo.
200
Apéndice A. Dónde encontrar información adicional
Si bien aquí hemos descripto la interfaz de MandrakeSecurity y revelado algunos detalles acerca de las redes
y la seguridad, este manual simplemente no es suficiente si Usted no tiene conocimiento alguno acerca de
algunas características específicas propuestas aquí. Es por esto que aquí le proponemos algunos vínculos a
varios documentos en la web que le ayudarán a comprender los mecanismos reales que están “por debajo” de
MandrakeSecurity .
Bibliografı́a
Documentación relacionada con el “backend”

Documentación de Shorewall (http: // www. shorewall. net/ shorewall_ quickstart_ guide. htm ) .
La aplicación Shorewall en la que se basa MandrakeSecurity , está ampliamente documentada. Busque

aquí ejemplos adicionales, e información completa sobre los procesos de segundo plano de MandrakeSe-
curity .
Caché de DNS: Bind de ICS (http: // www. isc. org/ products/ BIND/ ) .
DHCP (http: // www. isc. org/ products/ DHCP/ ) .
Proxy Web (http: // www. squid-cache. org/ ) .
Filtrado de URL con SquidGuard (http: // www. squidguard. org/ ) .
Filtrado de URL con DansGuardian (http: // dansguardian. org/ ) .
Sistema de detección de intrusiones SNORT (http: // www. snort. org/ ) .
Sistema de detección de intrusiones Prelude (http: // www. prelude-ids. org/ ) .
Información adicional acerca de las técnicas utilizadas en MandrakeSecurity

Traducción de dirección de red (NAT) IP (http: // www. suse. de/ ~mha/ linux-ip-nat/ diplom/ ) .
Linux FreeS/WAN: implementación de IPSEC & IKE para Linux (http: // www. xs4all. nl/ ~freeswan ) .
Windows 2000 / Windows XP - VPN FreeS/WAN (http: // vpn. ebootis. de/ ) .
201
Apéndice A. Dónde encontrar información adicional
202
Apéndice B. La Licencia Pública General GNU
El texto siguiente es la licencia GPL que se aplica a la mayoría de los programas que se encuentran en las
distribuciones Mandrake Linux.
Esta es una traducción al castellano no oficial de la Licencia Pública General GNU. No fue publicada por la
Free Software Foundation, y legalmente no establece los términos de distribución de software que usa la GPL
GNU-- sólo el texto original en inglés de la GPL GNU hace eso. Sin embargo, esperamos que esta traducción
ayudará a las personas que hablan castellano a comprender mejor la GPL GNU.
Traducido por Fabian Israel Mandelbaum en Mayo de 2000. Buenos Aires. Argentina.
Versión 2, Junio 1991 Copyright (C) 1989, 1991 Free Software Foundation, Inc. 59 Temple Place - Suite 330,
Boston, MA 02111-1307, USA
Cualquiera puede copiar y distribuir copias al pie de la letra del documento de esta licencia, pero no se permite
cambiarla.
B.1. Preámbulo
Las licencias para la mayoría del software están diseñadas para quitarle su libertad de compartirlo y cambiarlo.
En contraste, la Licencia Pública General GNU pretende garantizarle su libertad para compartir y cambiar el
software libre -- para asegurarse que el software es libre para todos sus usuarios. Esta Licencia Pública General
se aplica a la mayoría del software de la “Free Software Foundation” y a cualquier otro programa cuyos autores
se comprometan a usarla. (No obstante, algún otro software de la Free Software Foundation está cubierto por
la Licencia Pública General de Biblioteca GNU LGPL). Usted también puede aplicarla a sus programas.
Cuando hablamos de software libre, nos estamos refiriendo a libertad, no al precio. Nuestras Licencias Pú-
blicas Generales están diseñadas para asegurarse que Usted tiene la libertad de distribuir copias de software
libre (y, si Usted lo desea, puede cobrar por este servicio), que Usted recibe el código fuente o puede obtenerlo
si así lo desea, que Usted puede cambiar el software o usar piezas del mismo en programas libres nuevos; y
que Usted sabe que puede hacer estas cosas.
Para proteger sus derechos, necesitamos hacer restricciones que prohíban a cualquiera el negarle a Usted estos
derechos o pedirle a Usted que renuncie a los derechos. Estas restricciones se traducen en ciertas responsabi-
lidades para Usted si es que distribuye copias del software, o si lo modifica.
Por ejemplo, si Usted distribuye copias de tal programa, ya sea gratis o con un costo, Usted debe darle a quie-
nes lo reciban todos los derechos que Usted posee. Usted debe asegurarse que ellos, también, reciban o puedan
obtener el código fuente. Y Usted debe mostrarles estos términos para que ellos conozcan sus derechos.
Nosotros protegemos sus derechos con dos pasos:
1. el copyright (derecho de autor) del software, y

2. le ofrecemos esta licencia que le otorga permiso legal para copiar, distribuir y/o modificar el software.
También, para la protección de cada autor y la nuestra, nos queremos asegurar que todos entiendan que
no hay garantía alguna para este software libre. Si un tercero modifica el software y lo distribuye, nosotros
queremos que quienes lo reciban sepan que lo que ellos poseen no es el original, por lo que cualquier problema
introducido por terceros no afectará la reputación del autor original.
Finalmente, cualquier programa libre está constantemente amenazado por las patentes de software. Nosotros
deseamos evitar el peligro que los redistribuidores de un programa libre obtengan individualmente licencias
de las patentes, haciendo al programa, en efecto, propietario. Para evitar esto, nosotros hemos aclarado que
cualquier patente debe ser licenciada para el uso personal libre de cualquiera o no ser licenciada en absoluto.
Los términos y condiciones precisos para copiar, distribuir y modificar son los siguientes.
203
Apéndice B. La Licencia Pública General GNU
B.2. Términos y condiciones para la copia, distribución y modificación
• 0. Esta licencia se aplica a cualquier programa u otro trabajo que contiene una nota puesta por quien posee
el copyright diciendo que puede ser distribuido bajo los términos de esta Licencia Pública General. En
adelante, el “Programa” se refiere a cualquiera de tales programas o trabajos, y un “trabajo basado en el
Programa” significa o el Programa o cualquier trabajo derivado bajo la ley del copyright: es decir, un trabajo
conteniendo el Programa o una porción del mismo, ya sea textual o con modificaciones y/o traducciones
a otro idioma. (En adelante, traducción se incluye sin limitación en el término “modificación”). Se dirige a
cada titular de la licencia como “Usted”.
Actividades que no sean la copia, distribución y modificación no están cubiertas por esta Licencia; están
fuera del campo de la misma. El acto de ejecutar el Programa no está restringido, y la respuesta del Programa
está cubierta sólo si su contenido constituye un trabajo basado en el Programa (independiente de haber sido
el resultado de la ejecución del Programa). Que eso sea cierto depende de lo que haga el Programa.
• 1. Usted puede copiar y distribuir copias textuales del código fuente del Programa como lo recibió, en
cualquier medio, si Usted publica en cada copia visible y adecuadamente una nota de copyright apropiada
y la renuncia de garantía; mantiene intactas todas las notas que refieren a esta Licencia y a la ausencia de
garantía alguna; y le da a cualquier otra persona que reciba el Programa una copia de esta Licencia junto
con el Programa.
Usted puede cobrar un honorario por el acto físico de transferir una copia, y Usted puede, a su elección,
ofrecer la protección de la garantía a cambio de un honorario.
• 2. Usted puede modificar su copia o sus copias del Programa o cualquier porción del mismo, conformando
entonces un trabajo basado en el Programa, y copiar y distribuir tales modificaciones o trabajo bajo los
términos de la Sección 1 arriba expuestos, si Usted también cumple con todas estas condiciones:
1. Usted debe hacer que los archivos modificados tengan notas prominentes que digan que Usted cambió
los archivos y la fecha de cualquier cambio.
2. Usted debe hacer que cualquier trabajo que Usted distribuya o publique, que en todo o en parte contiene
o está derivado del Programa o cualquier parte del mismo, sea licenciado como un todo sin cargo a todas
las terceras partes bajo los términos de esta Licencia.
3. Si el Programa modificado normalmente lee comandos interactivamente cuando se ejecuta, Usted puede
hacer que, cuando el mismo inicie la corrida de tal uso interactivo de la manera más común, el Programa
imprima o muestre un anuncio incluyendo la nota de copyright apropiada y una nota que indique que
no hay garantía alguna (caso contrario, que diga que Usted proporciona una garantía) y que los usuarios
pueden redistribuir el programa bajo estas condiciones, y diciéndole al usuario como ver una copia de
esta Licencia. (Excepción: si el Programa en sí mismo es interactivo pero normalmente no imprime tal
anuncio, no es necesario que su trabajo basado en el Programa imprima un anuncio).
Estos requisitos se aplican al trabajo modificado como un todo. Si secciones identificables de ese trabajo no
están derivadas del Programa, y pueden considerarse razonablemente un trabajo separado e independiente
por sí mismas, entonces esta Licencia, y sus términos, no se aplican a dichas secciones cuando Usted las
distribuye como trabajos separados. Pero cuando Usted distribuye las mismas secciones como parte de un
todo el cual es un trabajo basado en el Programa, la distribución del todo debe ser bajo los término de esta
Licencia, cuyos permisos para otras licencias se extienden al todo, y por lo tanto, a todas y cada una de las
partes sin importar quien las escribió.
Por lo tanto, la intención de esta sección no es reclamar derechos o competir por sus derechos sobre un
trabajo escrito enteramente por Usted; sino, la intención es ejercitar el derecho de controlar la distribución
de trabajos derivativos o colectivos basados en el Programa.
Además, el mero agregado de otro trabajo que no esté basado en el Programa junto con el Programa (o con
un trabajo basado en el Programa) sobre un volumen de almacenamiento o medio de distribución no pone
al otro trabajo bajo el marco de esta Licencia.
• 3. Usted puede copiar y distribuir el Programa (o un trabajo basado en el mismo, bajo la Sección 2) en forma
de código objeto o ejecutable bajo los términos de las Secciones 1 y 2 anteriores siempre y cuando Usted
también haga algo de lo siguiente:
204
1. Lo acompaña con el código fuente legible por la máquina completo, el cual debe ser distribuido bajo los
términos de las Secciones 1 y 2 anteriores sobre un medio comúnmente usado para el intercambio de
software; o,
2. Lo acompaña con una oferta escrita, válida por al menos tres años, de dar a cualquier tercero, por un
cargo no mayor a su costo de realizar físicamente la distribución fuente, una copia completa legible por
la máquina del código fuente correspondiente, a ser distribuido bajo los términos de las Secciones 1 y 2
anteriores sobre un medio comúnmente usado para el intercambio de software; o,
3. Lo acompaña con la información que Usted recibió como la oferta de distribuir el código fuente corres-
pondiente. (Esta alternativa sólo está permitida para distribución no comercial y sólo si Usted recibió
el programa en forma de código objeto o ejecutable con tal oferta, de acuerdo con la Sub-sección b
anterior).
El código fuente para un trabajo significa la forma preferida del mismo para hacerle modificaciones. Para
un trabajo ejecutable, el código fuente completo significa todo el código fuente para todos los módulos
que contiene, más cualquier archivo asociado de definición de interfaces, más todos los scripts usados para
controlar la compilación e instalación del ejecutable. Sin embargo, como una excepción especial, el código
fuente distribuido no necesita incluir cosa alguna que normalmente se distribuya (ya sea en forma fuente
o binaria) con los componentes mayores (compilador, núcleo, y así sucesivamente) del sistema operativo
sobre el cual corre el ejecutable, a menos que dicho componente en sí mismo acompañe al ejecutable.
Si la distribución del ejecutable o el código objeto se hace ofreciendo acceso a la copia desde un sitio desig-
nado, entonces el hecho de ofrecer la copia del código fuente desde el mismo sitio cuenta como distribución
del código fuente, incluso si los terceros no están obligados a copiar los fuentes junto con el código objeto.
• 4. Usted no puede copiar, modificar, sub-licenciar, o distribuir el Programa excepto como se provee ex-
presamente bajo esta Licencia. Cualquier intento contrario de copiar, modificar, sub-licenciar o distribuir
el Programa está prohibido, y anulará automáticamente sus derechos sobre esta Licencia. Sin embargo, a
las partes que han recibido copias, o derechos, de Usted bajo esta Licencia no se les anularán sus licencias
siempre y cuando tales partes cumplan la misma por completo.
• 5. No es necesario que Usted acepte esta Licencia, ya que Usted no la firmó. Sin embargo, nada más le ga-
rantiza a Usted el permiso para modificar o distribuir el Programa o sus trabajos derivativos. Estas acciones
están prohibidas por ley si Usted no acepta esta Licencia. Por lo tanto, al modificar o distribuir el Programa
(o cualquier trabajo basado en el Programa), Usted indica su aceptación de esta Licencia para hacerlo, y
todos sus términos y condiciones para copiar, distribuir o modificar el Programa o los trabajos basados en
el mismo.
• 6. Cada vez que Usted redistribuye el Programa (o cualquier trabajo basado en el Programa), quien lo recibe
automáticamente recibe una licencia del licenciatario original para copiar, distribuir o modificar el Programa
sujeto a estos términos y condiciones. Usted no puede imponer cualquier otra restricción sobre el ejercicio
de los derechos aquí garantizados de quienes lo reciban. Usted no es responsable de forzar el cumplimiento
de esta Licencia por parte de terceros.
• 7. Si, como consecuencia de un veredicto de una corte o alegato de usurpación de una patente o cualquier
otra razón (no limitada a cuestiones de patentes), se le imponen condiciones (ya sea por orden de la corte,
convenio u otros) que contradicen las condiciones de esta Licencia, esto no lo libera a Usted de las condicio-
nes de esta Licencia. Si Usted no puede hacer la distribución de manera de satisfacer simultáneamente sus
obligaciones bajo esta Licencia y cualquier otra u otras obligaciones pertinentes, entonces como consecuen-
cia, Usted no puede distribuir el Programa en absoluto. Por ejemplo, si una licencia de patente no permite la
distribución sin regalías del Programa por todos aquellos que reciban copias directamente o indirectamente
a través de Usted, entonces la única forma en la cual Usted puede satisfacer tanto esta Licencia como la otra
sería contenerse en absoluto de distribuir el Programa.
Si, bajo cualquier circunstancia particular, cualquier porción de esta sección se invalida o no se puede forzar,
se pretende aplicar el balance de esta sección y la sección como un todo pretende aplicar en otras circuns-
tancias.
No es el propósito de esta sección inducir a Usted a violar patente alguna o cualquier otro reclamo de dere-
chos de propiedad o debatir la validez de cualquiera de tales reclamos; esta sección tiene el sólo propósito
de proteger la integridad del sistema de distribución de software libre, que está implementado por prácticas
de licencia pública. Mucha gente ha hecho contribuciones generosas al amplio rango de software distribui-
do por medio de ese sistema confiando en la aplicación consistente de dicho sistema; queda a criterio del
205
autor/donor decidir si él o ella está dispuesto a distribuir software por medio de cualquier otro sistema y
una licencia no puede imponer esa elección.
El propósito de esta sección es dejar bien en claro lo que se cree es una consecuencia del resto de esta
Licencia.
• 8. Si la distribución y/o el uso del Programa está restringido en ciertos países ya sea por patentes o por inter-
fases con copyright, el dueño del copyright original que pone al Programa bajo esta Licencia puede agregar
una limitación explícita a la distribución geográfica excluyendo dichos países, por lo cual la distribución
sólo está permitida en, o entre, los países no así excluidos. En tal caso, esta Licencia incorpora la limitación
como si estuviese escrita en el cuerpo de esta Licencia.
• 9. La Free Software Foundation puede publicar versiones revisadas y/o nuevas de la Licencia Pública Gene-
ral de vez en cuando. Tales versiones nuevas serán similares en espíritu a la versión presente, pero pueden
diferir en detalle para tratar problemas o intereses nuevos.
A cada versión se le da un número de versión distintiva. Si el Programa especifica un número de versión
de esta Licencia que aplica al mismo y a “cualquier versión posterior”, Usted tiene la opción de seguir los
términos y condiciones de cualquiera de esas versiones o de cualquier versión posterior publicada por la
Free Software Foundation. Si el Programa no especifica un número de versión de esta Licencia, Usted puede
elegir cualquier versión publicada alguna vez por la Free Software Foundation.
• 10. Si Usted desea incorporar partes del Programa dentro de otros Programas libres cuyas condiciones de
distribución son diferentes, escriba al autor para pedirle permiso. Para el software cuyo copyright posee
la Free Software Foundation, escriba a la Free Software Foundation; a veces, nosotros hacemos excepcio-
nes a esto. Nuestra decisión estará guiada por los dos objetivos de preservar el estado libre de todos los
derivativos de nuestro software libre y de promover el compartir y volver a usar el software en general.
•
SIN GARANTÍA
DEBIDO A QUE EL PROGRAMA SE LICENCIA SIN CARGO ALGUNO, NO HAY GARANTÍA PARA EL
MISMO, A LA EXTENSIÓN PERMITIDA POR LA LEY APLICABLE. EXCEPTO CUANDO SE INDIQUE
LO CONTRARIO POR ESCRITO LOS POSEEDORES DEL COPYRIGHT Y/O OTROS TERCEROS PRO-
VEEN EL PROGRAMA “TAL CUAL ESTÁ” SIN GARANTÍAS DE TIPO ALGUNO, YA SEAN EXPRESAS
O IMPLÍCITAS, INCLUYENDO, PERO NO ESTANDO LIMITADO A, LAS GARANTÍAS IMPLÍCITAS DE
COMERCIALIZACIÓN Y CONVENIENCIA PARA UN PROPÓSITO EN PARTICULAR. USTED ASUME
TODOS LOS RIESGOS SOBRE LA CALIDAD Y RENDIMIENTO DEL PROGRAMA. SI EL PROGRAMA
DEMUESTRA SER DEFECTUOSO, USTED ASUME EL COSTO DE CUALQUIER SERVICIO, REPARA-
CIÓN O CORRECCIÓN NECESARIOS.
• EL POSEEDOR DEL COPYRIGHT, O CUALQUIER TERCERO QUE PUEDE MODIFICAR Y/O DISTRI-
BUIR EL PROGRAMA COMO SE PERMITE ARRIBA, NO ESTARÁ EXPUESTO DE MANERA ALGUNA
A USTED., A MENOS QUE SE REQUIERA POR LEY APLICABLE O SE ACUERDE POR ESCRITO, A
DAÑOS INCLUYENDO CUALQUIER DAÑO GENERAL, ESPECIAL, INCIDENTE O CONSECUENTE
DEBIDO AL USO O A LA IMPOSIBILIDAD DE HACER USO DEL PROGRAMA (INCLUYENDO, PERO
NO LIMITADO A, LA PÉRDIDA DE DATOS O QUE LOS DATOS SE VUELVAN IMPRECISOS O PÉRDI-
DAS SOSTENIDAS POR USTED O TERCEROS O UNA FALLA DEL PROGRAMA PARA OPERAR CON
CUALQUIER OTRO PROGRAMA), INCLUSO SI DICHO POSEEDOR U OTROS TERCEROS HAN SIDO
AVISADOS DE LA POSIBILIDAD DE TALES DAÑOS.
FIN DE LOS TÉRMINOS Y CONDICIONES
206
B.3. Cómo aplicar estos Términos a sus programas nuevos

Si Usted desarrolla un programa nuevo, y Usted quiere que sea de la mayor utilidad posible al público, la me-
jor manera de hacer esto es hacerlo software libre que todos puedan redistribuir y cambiar bajo estos términos.
Para esto, agregue las notas siguientes al programa. Es más seguro agregarlas al comienzo de cada archivo
fuente para hacer llegar la exclusión de la garantía de manera más efectiva; y cada archivo debe tener al
menos la línea “copyright” y un puntero a donde se encuentra la nota completa.
<una línea para dar el nombre del programa y una idea breve de lo que hace.> Copyright (C) 20aa <nombre
del autor>
Este programa es software libre; Usted puede redistribuirlo y/o modificarlo bajo los términos de la Licencia
Pública General GNU como fue publicada por la Free Software Foundation; ya sea la versión 2 de la Licencia,
o (a su elección) cualquier versión posterior.
Este programa se distribuye con la esperanza de que será útil pero SIN GARANTÍA ALGUNA; incluso sin la
garantía implícita de COMERCIALIZACIÓN o CONVENIENCIA PARA UN PROPÓSITO EN PARTICULAR.
Vea la Licencia Pública General GNU para más detalles.
Usted debería haber recibido una copia de la Licencia Pública General GNU junto con este programa; de no
ser así, escriba a la Free Software Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA
También agregue información sobre como ponerse en contacto con Usted por medio de correo electrónico o
correo postal.
Si el programa es interactivo, haga que el mismo muestre una pequeña nota como esta cuando inicia en un
modo interactivo:
Gnomovision versión 69, Copyright (C) 20aa <nombre del autor>
Gnomovision viene ABSOLUTAMENTE SIN GARANTÍA;

para detalles ingrese ‘mostrar g’.
Este es software libre, y Usted está alentado a redistribuirlo bajo ciertas

condiciones; ingrese ‘mostrar c’ para más detalles.
Los comandos hipotéticos “mostrar g” y “mostrar c” deberían mostrar las partes apropiadas de la Licencia
Pública General. Por supuesto que los comandos que Usted use pueden denominarse de otra forma en vez de
“mostrar g” y “mostrar c”; incluso pueden ser clic con el ratón o elementos del menú – cualquier cosa que sea
adecuada para su programa.
También debería hacer que su empleador (si Usted trabaja como programador) o su escuela, si correspon-
de, firmen una “renuncia al copyright” para el programa, si es necesario. Aquí tiene un ejemplo; cambie los
nombres adecuadamente:
Yoyodine, Inc., por la presente renuncia a todos los intereses del copyright del programa “Gnomovision” (que
pasa a sus compiladores) escrito por Pedro Hacker.
<firma de Juan Perez>, 1 de Abril 2000 Juan Perez, Presidente de Compañía
Esta Licencia Pública General no permite incorporar a su programa dentro de programas propietarios. Si su
programa es una biblioteca de subrutinas, Usted puede considerar más útil el permitir enlazar aplicaciones
propietarias con la biblioteca. Si esto es lo que Usted desea hacer, use la Licencia Pública General de Biblioteca
GNU en lugar de esta Licencia.
207
208
Apéndice C. Licencia de Documentación Libre GNU
C.1. Acerca de la traducción al castellano de la Licencia de Documentación Libre GNU

This is an unofficial translation of the GNU Free Documentation License into Spanish. It was not published
by the Free Software Foundation, and does not legally state the distribution terms for documentation that
uses the GNU FDL--only the original English text of the GNU FDL does that. However, we hope that this
translation will help Spanish speakers understand the GNU FDL better.
Esta es una traducción no oficial al castellano de la Licencia de Documentación Libre (FDL) GNU. No fue
publicada por la Fundación de Software Libre (FSF), y legalmente no establece los términos de distribución
de la documentación que usa la GNU FDL -- sólo el texto original en inglés de la GNU FDL hace eso. Sin
embargo, esperamos que esta traducción ayudará a las personas que hablan castellano a comprender mejor la
FDL GNU.
Traducido por Fabian Mandelbaum en Marzo de 2001. París. Francia.
C.2. Licencia de Documentación Libre GNU

Versión 1.1, Marzo 2000
Copyright (C) 2000 Free Software Foundation, Inc. 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA Se permite
a todos copiar y distribuir copias textuales del documento de esta licencia, pero cambiar la misma no está permitido.
0. PREÁMBULO
El propósito de esta Licencia es hacer “libre” al manual, libro de texto, u otra documentación escrita, en el sen-
tido de libertad: para asegurar a cualquiera la libertad efectiva de copiar o volver a distribuir el material, con
o sin modificación, ya sea comercialmente o no comercialmente. En segundo término, esta Licencia preserva
para el autor y para quien lo publica una forma de obtener crédito por su trabajo, a la vez que no se pueden
considerar responsables por las modificaciones hechas por otros.
Esta Licencia es una especie de “copyleft”, lo cual significa que los trabajos derivados del documento deben
ser, en sí mismos, libres en el mismo sentido. La misma complementa a la Licencia Pública General GNU, la
cual es una licencia “copyleft” diseñada para el software libre.
Hemos diseñado esta licencia para poder usarla para los manuales del software libre, debido a que el software
libre necesita documentación libre: un programa libre debería estar acompañado de manuales que proporcio-
nen las mismas libertades que proporciona dicho programa. Pero esta Licencia no está limitada a los manuales
de software; la misma se puede usar para cualquier trabajo de textos, independientemente del tema o si se
publica como libro impreso. Recomendamos esta Licencia principalmente para trabajos cuyo propósito sea
instructivo o de referencia.
1. APLICABILIDAD y DEFINICIONES
Esta Licencia aplica a cualquier manual o cualquier otro trabajo que contiene una nota del propietario del
copyright que diga que se puede distribuir bajo los términos de esta Licencia. En adelante, “Documento”
refiere a cualquiera de dichos manuales o trabajos. Cualquier miembro del público disfruta de la licencia, y se
denominará al mismo como “Usted”.
Una “Versión Modificada” del Documento significa cualquier trabajo que contiene al Documento o a una
porción del mismo, ya sea copiada textualmente, o con modificaciones y/o traducida a otro idioma.
Una “Sección Secundaria” es un apéndice nombrado o una sección de carácter central del Documento que
trata exclusivamente con la relación de los publicadores o autores del Documento con el tema general del
Documento (o con temas relacionados) y no contiene cosa alguna que pueda caer directamente dentro de ese
tema general. (Por ejemplo, si el Documento es una parte de un libro de texto sobre matemáticas, una Sección
Secundaria puede no explicar matemática alguna.) La relación puede ser sólo una cuestión de conexión histó-
rica con el tema o con temas relacionados, o de posición legal, comercial, filosófica, ética, o política respecto de
dichos temas
Las “Secciones Invariantes” son ciertas Secciones Secundarias cuyos títulos se designan, como parte de esas
Secciones Invariantes, en la nota que dice que el Documento se libera bajo esta Licencia.
209
Apéndice C. Licencia de Documentación Libre GNU
Los “Textos de Cubierta” son ciertos pasajes de texto pequeños que se listan, tales como Textos de Tapa o
Textos de Contra-tapa, en la nota que dice que el Documento se libera bajo esta Licencia.
Una copia “Transparente” del Documento significa una copia legible por una máquina, representada en un
formato cuya especificación esté disponible al público general, cuyo contenido se pueda ver y editar directa
e inmediatamente con editores de texto genéricos o (para las imágenes compuestas de pixels) programas
genéricos de pintado o (para los dibujos) algún editor de dibujos disponible ampliamente, y que es adecuado
como entrada de formateadores de texto o para la traducción automática a una variedad de formatos aptos
para usar como entrada de formateadores de texto. Una copia hecha en un formato que de otra forma sería
Transparente cuya anotación ha sido diseñada para frustrar o desalentar la modificación subsecuente hecha
por sus lectores no es Transparente. Una copia que no es “Transparente” se denomina “Opaca”.
Ejemplos de formatos adecuados para copias Transparentes incluyen ASCII plano sin anotación, formato de
entrada Texinfo, formato de entrada LaTeX, SGML o XML usando un DTD disponible públicamente, y HTML
simple de acuerdo a las normas diseñado para que las personas lo puedan modificar. Los formatos Opacos
incluyen PostScript, PDF, formatos propietarios que sólo se pueden leer y editar con procesadores de texto
propietarios, SGML o XML para el cual el DTD y/o las herramientas de procesado no están disponibles para
el público en general, y el HTML generado por la máquina que producen algunos procesadores de texto sólo
con propósitos de presentación.
La “Página del Título” significa, para un libro impreso, la página del título propiamente dicha, más tales
páginas siguientes, necesarias para contener, legiblemente, el material que esta Licencia necesita que aparezca
en la página del título. Para trabajos en formatos que no tienen página de título alguna, la “Página del Título”
significa el texto que está cerca de la aparición más prominente del título del trabajo, que precede al comienzo
del cuerpo del texto.
2. COPIADO TEXTUAL
Usted puede copiar y distribuir el Documento en cualquier medio, ya sea comercialmente o no comercial-
mente, siempre y cuando esta Licencia, las notas acerca del copyright, y la nota de la licencia que dice que
esta Licencia aplica al Documento se reproduzcan en todas las copias, y que Usted no agregue otras condicio-
nes cualesquiera que sean a aquellas de esta Licencia. Usted no puede usar medidas técnicas para obstruir o
controlar la lectura o la copia posterior de las copias que hace o distribuye. Sin embargo, puede aceptar una
compensación a cambio de copias. Si distribuye una cantidad suficientemente grande de copias también debe
seguir las condiciones de la sección 3.
También puede prestar copias, bajo las mismas condiciones que se indican arriba, y puede mostrar copias
públicamente.
3. COPIADO EN CANTIDAD
Si publica copias impresas del Documento en cantidad mayor a 100, y la nota de la licencia del Documento
necesita de Textos de Cubierta, debe incluir las copias en cubiertas que lleven, clara y legiblemente, todos esos
Textos de Cubierta: los Textos de Tapa en la tapa, y los Textos de Contra-tapa en la contra-tapa. Ambas cu-
biertas también deben identificarlo clara y legiblemente como quien publica estas copias. La cubierta frontal
debe presentar el título completo con todas las palabras o el título con igual prominencia y visibilidad. Adi-
cionalmente, Usted puede agregar otro material sobre las cubiertas. El copiado con cambios limitados a las
cubiertas, siempre y cuando las mismas preserven el título del Documento y satisfagan estas condiciones, se
puede tratar como copiado textual en otros sentidos.
Si los textos que necesita cualquier cubierta son muy voluminosos para caber de forma legible, debería poner
los primeros que se listan (tantos como quepan razonablemente) sobre la cubierta real, y continuar con el resto
sobre las páginas adyacentes.
Si publica o distribuye copias Opacas del Documento en cantidad mayor a 100, debe incluir o bien una copia
Transparente legible por una máquina junto con cada copia Opaca, o bien mencionar en o con cada copia Opa-
ca una ubicación en una red de computadoras accesible públicamente que contenga una copia Transparente
completa del Documento, libre de material agregado, que el público general que usa la red tenga acceso a
transferir anónimamente sin cargo alguno usando protocolos de red públicos y normalizados. Si usa la últi-
ma opción, debe tomar pasos razonablemente prudentes cuando comience la distribución de copias Opacas en
cantidad, para asegurar que esta copia Transparente permanecerá accesible de esta forma en la ubicación men-
cionada por lo menos durante un año después de la última vez que distribuyó una copia Opaca (directamente
o por medio de sus agentes o distribuidores) de esa edición al público.
210
Se pide, aunque no es necesario, que contacte a los autores del Documento con anterioridad suficiente antes
de comenzar a redistribuir cualquier cantidad grande de copias, de forma de darles una oportunidad para
proporcionarle a Usted una versión actualizada del Documento.
4. MODIFICACIONES
Puede copiar y distribuir una Versión Modificada del Documento bajo las condiciones de las secciones 2 y
3 de arriba, siempre y cuando libere a la Versión Modificada precisamente bajo esta Licencia, con la Versión
Modificada cumpliendo el rol del Documento, de forma tal que se licencia la distribución y modificación de la
Versión Modificada a quienquiera posea una copia de la misma. Adicionalmente, debe hacer lo siguiente en
la Versión Modificada:
A. Usar en la Página del Título (y sobre las cubiertas, si es que hay alguna) un título distinto del título del
Documento, y de aquellos de las versiones previas (las cuales deberían, en caso que existan, estar listadas
en la sección Historia del Documento). Usted puede usar el mismo título que una versión previa si el
publicador original de esa versión da permiso.
B. Listar en la Página del Título, como autores, a una o más personas o entidades responsables por la autoría
de las modificaciones en la Versión Modificada, junto con al menos cinco de los autores principales del
Documento (todos sus autores principales, si el mismo tiene menos de cinco).
C. Mencionar en la Página del Título el nombre del editor de la Versión Modificada, como el editor.
D. Preservar todas las notas de copyright del Documento.
E. Agregar una nota de copyright apropiada para las modificaciones hechas por Usted adyacente a las otras
notas de copyright.
F. Incluir, inmediatamente después de las notas de copyright, una nota de licencia que da permiso al público
general para usar la Versión Modificada bajo los términos de esta Licencia, en la forma que se muestra en
el Apéndice más adelante.
G. Preservar en dicha nota de licencia las listas completas de las Secciones Invariantes y los Textos de Cubierta
necesarios que se dan en la nota de licencia del Documento.
H. Incluir una copia sin alterar de esta Licencia.
I. Preservar la sección titulada "Historia" y el título de la misma, y agregar a la misma un ítem que mencione
al menos el título, año, autores nuevos, y publicador de la Versión Modificada como se da en la Página
del Título. Si en el Documento no hay sección alguna titulada "Historia", crear una que mencione el título,
año, autores, y publicador del Documento como se da en la Página del Título, luego agregar un ítem que
describa la Versión Modificada como se mencionó en la oración anterior.
J. Preservar la ubicación de red, si hay alguna, dada en el Documento para el acceso público a una copia
Transparente del Documento, y de la misma manera las ubicaciones de red dadas en el Documento para
las versiones previas en la que el mismo se basa. Estas pueden colocarse en la sección "Historia". Usted
puede omitir una ubicación de red para un trabajo que fue publicado al menos cuatro años antes que el
Documento propiamente dicho, o si el publicador original de la versión a la cual se refiere da permiso.
K. En cualquier sección titulada "Reconocimientos" o "Dedicatorias", preservar el título de la sección, y pre-
servar en la sección toda la sustancia y el tono de cada uno de los reconocimientos a los contribuyentes
y/o dedicaciones aquí mencionados.
L. Preservar todas las Secciones Invariantes del Documento, inalteradas en su texto y en sus títulos. Los
números de sección o el equivalente no se consideran parte de los títulos de sección.
M. Borrar cualquier sección titulada "Aprobaciones". Tal sección no puede incluirse en la Versión Modificada.
N. No cambiar el título de sección alguna por "Aprobaciones" o de forma tal que genere un conflicto con
cualquier Sección Invariante.
Si la Versión Modificada incluye nuevas secciones o apéndices de carácter central que califican como Secciones
Secundarias y no contienen material copiado del Documento, Usted puede a su elección designar a alguna o
todas estas secciones como invariantes. Para hacer esto, agregue los títulos de las mismas a la lista de Secciones
Invariantes en la nota de licencia de la Versión Modificada. Estos títulos deben ser distintos de los títulos de
cualquier otra sección.
211
Usted puede agregar una sección titulada "Aprobaciones", siempre y cuando no contenga otra cosa que apro-
baciones de terceros de su Versión Modificada--por ejemplo, menciones de revisiones hechas por sus pares o
que el texto ha sido aprobado por una organización como la definición fidedigna de una normativa.
Puede agregar un pasaje de hasta cinco palabras como un Texto de Tapa, y un pasaje de hasta veinticinco
palabras como un Texto de Contra-tapa, al final de la lista de Textos de Cubierta en la Versión Modificada.
Sólo puede agregarse un pasaje del Texto de Tapa y uno del Texto de Contra-tapa por medio de una entidad
(o por medio de contratos hechos con una). Si el Documento ya incluye un texto de cubierta para la misma
cubierta, agregado con anterioridad por Usted o por un contrato hecho por la misma entidad en nombre de la
cual Usted está actuando, no puede agregar otro; pero puede reemplazar el anterior, sobre permiso explícito
del publicador previo que agregó el anterior.
El(Los) autor(es) y publicador(es) del Documento no dan por medio de esta Licencia permiso para usar sus
nombres para publicidad para o para imponer o implicar atribución de cualquier Versión Modificada.
5. COMBINANDO DOCUMENTOS
Usted puede combinar el Documento con otros documentos liberados bajo esta Licencia, bajo los términos
definidos en la sección 4 de arriba para las versiones modificadas, siempre y cuando incluya en la combinación
todas las Secciones Invariantes de todos los documentos originales, sin modificaciones, y las liste a todas como
Secciones Invariantes de su trabajo combinado en la nota de licencia del mismo.
El trabajo combinado sólo debe contener una copia de esta Licencia, y múltiples Secciones Invariantes idénti-
cas se pueden reemplazar con una copia única. Si hay múltiples Secciones Invariantes con el mismo nombre
pero contenido diferente, haga que el título de cada una de dichas secciones sea único, agregando al final del
mismo, entre paréntesis, el nombre del autor o editor original de esa sección si se conoce, o de lo contrario un
número único. Haga el mismo ajuste a los títulos de sección en la lista de Secciones Invariantes en la nota de
licencia del trabajo combinado.
En la combinación, Usted debe combinar cualquier sección titulada "Historia" en los distintos documentos
originales, formando una sección titulada "Historia"; de la misma forma, combine cualquier sección titulada
"Agradecimientos", y cualquier sección titulada "Dedicatorias". Usted debe borrar todas las secciones tituladas
"Aprobaciones."
6. COLECCIONES DE DOCUMENTOS
Usted puede hacer una colección que consista del Documento y otros documentos liberados bajo esta Licencia,
y reemplazar las copias individuales de esta Licencia en los distintos documentos con una única copia que se
incluya en la colección, siempre y cuando siga las reglas de esta Licencia para copiado textual de cada uno de
los documentos en todos los otros sentidos.
Puede extraer un único documento de tal colección, y distribuirlo individualmente bajo esta Licencia, siempre
y cuando inserte una copia de esta Licencia dentro del documento extraído, y siga esta Licencia en todos los
demás sentidos que traten con el copiado literal de ese documento.
7. AGREGACIÓN CON TRABAJOS INDEPENDIENTES

Una compilación del Documento o sus derivados con otros documentos o trabajos separados e independien-
tes, en o sobre un volumen de un medio de almacenamiento o distribución, no cuenta como un todo como
una Versión Modificada del Documento, siempre y cuando no se reclame copyright alguno sobre la compi-
lación. Una compilación tal, se denomina una "agregación", y esta Licencia no aplica a los demás trabajos
auto-contenidos compilados por lo tanto con el Documento, o a cuenta de haber sido compilados de esta
manera, si ellos mismos no son trabajos derivados del Documento.
Si el requisito de Texto de Cubierta de la sección 3 se aplica a estas copias del Documento, entonces si el
Documento es menos que un cuarto de toda la agregación, los Textos de Cubierta del Documento pueden
colocarse en cubiertas que rodeen sólo al Documento dentro de la agregación. De no ser así los mismos deben
aparecer en las cubiertas alrededor de la agregación completa.
212
8. TRADUCCIÓN
La traducción se considera una especie de modificación, por lo tanto puede distribuir traducciones del Do-
cumento bajo los términos de la sección 4. El reemplazo de Secciones Invariantes con traducciones requiere
permiso especial de los propietarios del copyright, pero Usted puede incluir traducciones de alguna o de todas
las Secciones Invariantes además de las versiones originales de estas Secciones Invariantes. Puede incluir una
traducción de esta Licencia siempre y cuando también incluya la versión original en Inglés de esta Licencia. En
caso de desacuerdo entre la traducción y la versión original en Inglés de esta Licencia, prevalecerá la versión
original en Inglés.
9. TERMINACIÓN
Usted no puede copiar, modificar, sub-licenciar, o distribuir el Documento excepto como se ha previsto para
tales fines bajo esta Licencia. Cualquier otro intento de copiar, modificar, sub-licenciar o distribuir el Docu-
mento es nulo, y terminará automáticamente sus derechos bajo esta Licencia. Sin embargo, las partes que
han recibido copias, o derechos, de parte de Usted bajo esta Licencia no harán que terminen sus respectivas
licencias mientras que dichas partes permanezcan en completo cumplimiento.
10. REVISIONES FUTURAS DE ESTA LICENCIA

De vez en cuando, la Fundación del Software Libre (Free Software Foundation) puede publicar versiones
nuevas, revisadas de la Licencia de Documentación Libre GNU. Tales versiones nuevas serán similares en
espíritu a la presente versión, pero pueden diferir en detalle para solucionar problemas o preocupaciones
nuevas. Vea copyleft (http://www.gnu.org/copyleft/).
A cada versión de la Licencia se la da un número de versión distintivo. Si el Documento especifica que un
número de versión de esta Licencia en particular "o cualquier otra versión posterior" aplica al mismo, Usted
tiene la opción de seguir los términos y condiciones de cualquier aquella versión especificada o de cualquier
versión posterior que ha sido publicada (no como borrador) por la Free Software Foundation. Si el Documento
no especifica un número de versión de esta Licencia, puede elegir cualquier versión que haya sido publicada
(no como borrador) por la Free Software Foundation.
C.3. Cómo usar esta Licencia para sus documentos

Para usar esta Licencia en un documento que Usted ha escrito, incluya una copia de la Licencia en el docu-
mento y ponga las notas del copyright y la licencia siguientes justo después de la página del título:
Copyright (c) AÑO SU NOMBRE. Permission is granted to copy, distribute and/or modify this document under the
terms of the GNU Free Documentation License, Version 1.1 or any later version published by the Free Software Foun-
dation; with the Invariant Sections being LISTE LOS TÍTULOS, with the Front-Cover Texts being LISTA, and with the
Back-Cover Texts being LISTA. A copy of the license is included in the section entitled "GNU Free Documentation
License".
Si no tiene Sección Invariante alguna, escriba "sin Secciones Invariantes" en vez de decir cuales secciones son
invariantes. Si no tiene Textos de Tapa, escriba "sin Textos de Tapa" en vez de "Con los Textos de Tapa LISTA";
de la misma forma para los Textos de Contra-tapa.
Si su documento contiene ejemplos no triviales de código de programa, recomendamos liberar estos ejemplos
en paralelo bajo su elección de licencia de software libre, tal como la Licencia Pública General GNU, para
permitir el uso de los ejemplos en software libre.
213
214

Multiple Network Fitewall - Guía Del Usuario

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Multiple Network Fitewall - Guía Del Usuario

Uploaded by

Copyright:

Available Formats

MandrakeSecurity

Multiple Network Firewall

Los capı́tulos citados en la tabla de abajo están sujetos a un dueño

Copyright original Licencia

2. Acerca de Mandrake Linux

2.1. Contacte con la comunidad Mandrake

2.2. Soporte a Mandrake

2.3. Compre productos Mandrake

3. Acerca de esta Guı́a de Instalación y del Usuario de MandrakeSecurity

5. Palabras del traductor

6. Las herramientas usadas en la elaboración de este manual

7. Convenciones usadas en este libro

7.1. Convenciones tipográficas

Este icono resalta una nota. Generalmente, es un comentario en el

Este icono representa un consejo. Puede ser un consejo general

7.2. Convenciones generales

7.2.1. Sinopsis de comandos

7.2.2. Notaciones especiales

7.2.3. Usuarios genéricos del sistema

Reina Pingusa Este usuario se crea en el momento de la instalación.

1.1. Guı́as para comenzar

1. Requisitos de hardware. Si está construyendo su cortafuegos a partir de una PC estándar, verifique si su

1.2. Requisitos de hardware

2.1. Introducción al instalador de MandrakeSecurity

Figura 2-1. Primerísima pantalla de Bienvenida

Al seleccionar el modo expert se le pedirán más detalles acerca del

• rojo: todavía no se ha llevado a cabo esta fase de la instalación

2.2. Eligiendo su idioma

Figura 2-2. Eligiendo el idioma predeterminado

Su elección de idioma preferido afectará al idioma de la documentación, el instalador y el sistema en general.

La interfaz web de MandrakeSecurity no soporta todos los idio-

2.3. Términos de licencia de la distribución

2.4. Detección y configuración del disco

2.5. Configuración de su ratón

Los ratones con rueda a veces no se detectan automáticamente, por

2.6. Configuración del teclado

2.7. Selección de los puntos de montaje

Si elige esta opción, se borrarán todos los datos en su disco.

Si elige esta opción, se perderán todos los datos en su disco.

2.8. Elección de las particiones a formatear

2.9. Instalación de los paquetes

2.10. Contraseña de root

El nivel de seguridad de MSEC está configurado, de manera prede-

2.11. Contraseña del administrador

2.12. Agregar un usuario

Hacer clic sobre el botón Avanzada le permite cambiar el shell

2.13. Configurar su red

Si bien aquı́ se ofrecen muchos tipos de conexión, no configure

2.14. Donde deberı́a colocar el cargador de arranque

2.15. Disquete de arranque

2.16. Instalación de actualizaciones desde la Internet

2.17. ¡Se terminó!

2.18. Como desinstalar Linux

Adiós, ¡y gracias por utilizar MandrakeSecurity !

Figura 3-1. La ventana de conexión para conectarse a MandrakeSecurity

Figura 3-2. Pantalla de bienvenida de MandrakeSecurity

• texto informativo: de qué se trata la pantalla,

Figura 3-3. La entrada del menú para desconectarse

3.2. Configuración básica del sistema

3.2.1. Configuración general del sistema

Nombre del sistema cortafuegos.empresa.net

Nombre de dominio empresa.net

Información del sistema Linux cortafuegos.empresa.net 2.4.18-8.1mdksecure #1 ...