You are on page 1of 228

MandrakeSecurity

Multiple Network Firewall


Gua del Usuario

(http://www.MandrakeSoft.com)

MandrakeSecurity: Multiple Network Firewall; Gua del Usuario


Publicado 2002-06-15
Copyright 2002 MandrakeSoft SA
por Camille Bgnis, Christian Roy, Fabian Mandelbaum, Jol Pomerleau, y Florin Grad

Tabla de contenidos
Prefacio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
1. Nota legal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
2. Acerca de Mandrake Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
2.1. Contacte con la comunidad Mandrake . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
2.2. Soporte a Mandrake . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ii
2.3. Compre productos Mandrake . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ii
3. Acerca de esta Gua de Instalacin y del Usuario de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . iii
4. Autores y traductores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iii
5. Palabras del traductor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
6. Las herramientas usadas en la elaboracin de este manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
7. Convenciones usadas en este libro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
7.1. Convenciones tipogrficas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
7.2. Convenciones generales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v
1. Comenzando . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.1. Guas para comenzar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2. Requisitos de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
2. Instalacin con DrakX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
2.1. Introduccin al instalador de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2.2. Eligiendo su idioma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2.3. Trminos de licencia de la distribucin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.4. Deteccin y configuracin del disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.5. Configuracin de su ratn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.6. Configuracin del teclado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.7. Seleccin de los puntos de montaje . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.8. Eleccin de las particiones a formatear . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.9. Instalacin de los paquetes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.10. Contrasea de root . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.11. Contrasea del administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.12. Agregar un usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.13. Configurar su red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.14. Donde debera colocar el cargador de arranque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.15. Disquete de arranque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.16. Instalacin de actualizaciones desde la Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.17. Se termin! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
2.18. Como desinstalar Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
I. Administracin y configuracin de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3. Configuracin bsica de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.1. Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.2. Configuracin bsica del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.3. Configuracin de tarjetas Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.4. Cambiando la contrasea del administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.5. Registro del sistema sobre las mquinas locales/remotas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.6. Configuracin de la hora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4. Configurando el acceso a la Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.1. Estado del acceso a la Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.2. Configuracin del mdem analgico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.3. Configure su acceso a la Internet por RDSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
4.4. Configuracin de la conexin ADSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.5. Configuracin de la conexin por Cable/LAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
4.6. Configuracin de las cuentas del proveedor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
4.7. Restriccin horaria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
5. Servicios: DHCP, Proxy, DNS, y ms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
5.1. Estado de los servicios que se brindan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
5.2. Servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
5.3. Servidor proxy Squid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
5.4. DNS de cacheo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
5.5. Sistema de deteccin de intrusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

iii

5.6. Activacin de los servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67


6. Configurando el comportamiento propiamente dicho del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
6.1. Control principal del cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
6.2. Definicin de las zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
6.3. Configuracin del enmascarado, NAT esttica y Proxy ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
6.4. Configuracin de las polticas predeterminadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
6.5. Configuracin de las reglas del cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .83
6.6. Manteniendo la Lista Negra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
6.7. Configuracin de las reglas de Tipo de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
7. Configuracin de VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
7.1. Qu es una VPN? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
7.2. Por qu una VPN? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
7.3. Configurando un Servidor VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
7.4. Configurar un Cliente VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
8. Configuracin de los clientes enmascarados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
8.1. Mquina Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
8.2. Mquina Windows XP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
8.3. Mquina Windows 95 o Windows 98 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
8.4. Mquina Windows NT o Windows 2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
8.5. Mquina DOS utilizando el paquete NCSA Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
8.6. Windows para Trabajo en Grupo 3.11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
8.7. Mquina MacOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
8.8. Mquina OS/2 Warp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
9. Monitoreando el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
9.1. Utilizacin de la red y del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
9.2. Registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
10. Herramientas de administracin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
10.1. Conexin remota utilizando SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
10.2. Respaldar y Restaurar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
10.3. Actualizar el software. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .133
II. Teora aplicada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
11. Seguridad bajo GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
11.1. Prembulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
11.2. Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
11.3. Seguridad fsica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
11.4. Seguridad local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
11.5. Seguridad de los archivos y del sistema de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
11.6. Seguridad con contraseas y cifrado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
11.7. Seguridad del ncleo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
11.8. Seguridad de la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
11.9. Preparacin para la seguridad (antes que Usted vaya en lnea) . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
11.10. Qu hacer durante y despus de un irrupcin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
11.11. Fuentes sobre seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
11.12. Preguntas formuladas con frecuencia (FAQ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
11.13. Conclusin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Trminos relacionados con la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
12. Generalidades sobre redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
12.1. Copyright . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
12.2. Cmo usar este captulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
12.3. Informacin general acerca de las redes en Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
12.4. Informacin genrica sobre la configuracin de redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
12.5. Informacin sobre Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
12.6. Informacin relacionada con IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
12.7. Utilizando hardware comn de PC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .187
12.8. Otras tecnologas de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
12.9. Cables y cableado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
A. Dnde encontrar informacin adicional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
........................................................................................................
B. La Licencia Pblica General GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203

iv

B.1. Prembulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203


B.2. Trminos y condiciones para la copia, distribucin y modificacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
B.3. Cmo aplicar estos Trminos a sus programas nuevos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
C. Licencia de Documentacin Libre GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
C.1. Acerca de la traduccin al castellano de la Licencia de Documentacin Libre GNU . . . . . . . . . . . . . . 209
C.2. Licencia de Documentacin Libre GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
0. PREMBULO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
1. APLICABILIDAD y DEFINICIONES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
2. COPIADO TEXTUAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
3. COPIADO EN CANTIDAD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
4. MODIFICACIONES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
5. COMBINANDO DOCUMENTOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
6. COLECCIONES DE DOCUMENTOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
7. AGREGACIN CON TRABAJOS INDEPENDIENTES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
8. TRADUCCIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
9. TERMINACIN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .213
10. REVISIONES FUTURAS DE ESTA LICENCIA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
C.3. Cmo usar esta Licencia para sus documentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

vi

Lista de tablas
1. Material importado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . i
1-1. Requisitos de hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
12-1. Asignaciones reservadas de redes privadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181

Tabla de figuras
2-1. Primersima pantalla de Bienvenida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2-2. Eligiendo el idioma predeterminado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3-1. La ventana de conexin para conectarse a MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3-2. Pantalla de bienvenida de MandrakeSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3-3. La entrada del men para desconectarse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
7-1. Esquema de conexin VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
7-2. Aadiendo una zona VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
7-3. Aadiendo una interfaz de red ipsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
7-4. Aadiendo polticas predeterminadas para la VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
7-5. Aadiendo un tnel en el cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
7-6. Configurando la CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
7-7. Disposicin de la VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
7-8. Aadiendo un lado del Servidor VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
7-9. Regla para permitir el trfico HTTP sobre la VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
7-10. Aadiendo el lado Cliente de una VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
8-1. Volviendo a configurar la red local con Draknet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
8-2. Configurando la pasarela con Draknet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
8-3. Configurando la pasarela con Windows XP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
8-4. El icono de red bajo Windows 95/98 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
8-5. El panel de configuracin de la red bajo Windows 95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
8-6. El panel de configuracin TCP/IP bajo Windows 95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
8-7. El panel de configuracin de la pasarela bajo Windows 95 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
8-8. El panel de configuracin del protocolo bajo Windows NT/2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
8-9. El panel de software de red bajo Windows NT/2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
8-10. El panel de configuracin TCP/IP bajo Windows NT/2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
8-11. El panel de configuracin de DNS bajo Windows NT/2000. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111
8-12. Accediendo al panel de control TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
8-13. Configuracin automtica del acceso a la Internet para MacOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
8-14. Configuracin manual del acceso a la Internet para MacOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
9-1. Ejemplo de reporte de Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
10-1. Pantalla principal de Herramientas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
10-2. Pantalla de restauracin de ejemplo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132
10-3. Aplicar la configuracin del archivo restaurado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
12-1. Un ejemplo de ruteo dinmico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
12-2. El cableado NULL-mdem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
12-3. Cableado Ethernet 10base2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200

vii

viii

Prefacio
1. Nota legal
Este manual (excepto los captulos que se listan en la tabla de abajo) est protegido bajo los derechos de la propiedad intelectual de MandrakeSoft. Se otorga permiso para copiar, distribuir y/o modificar este documento
bajo los trminos de la Licencia de Documentacin Libre GNU, Versin 1.1 o cualquier versin posterior publicada por la Fundacin de Software Libre (FSF); siendo las Secciones Invariantes Acerca de Mandrake Linux,
pgina i, con los Textos de Tapa listados debajo, y sin Textos de Contra-tapa. Se incluye una copia de la licencia
en la seccin Licencia de documentacin libre GNU, de Aplicaciones de todos los das, junto con una traduccin al
castellano.
Textos de Tapa:
MandrakeSoft Mayo 2002
http://www.mandrakesoft.com/
Copyright 1999, 2000, 2001, 2002 por MandrakeSoft S.A. y MandrakeSoft Inc.

Los captulos citados en la tabla de abajo est


an sujetos a un due
no
del copyright distinto al de todo el manual y a una licencia diferente:

Copyright original

Licencia

Seguridad bajo GNU/Linux, pgina


137

(c) 1998-2000 Kevin Fenzi y Dave


Wreski

Licencia Pblica General GNU


como la public la Fundacin de
Software Libre; ya sea la versin 2
de la Licencia, o (a su opcin)
cualquier versin posterior.

Generalidades sobre redes, pgina


177

(c) 1997 Terry Dawson, 1998


Alessandro Rubini, 1999 & 2000
Joshua D. Drake
{POET}/CommandPrompt, Inc. http://www.linuxports.com/

Licencia LDP (vea la informacin


sobre la licencia en el captulo)

Tabla 1. Material importado


Mandrake, Mandrake Linux y MandrakeSoft son marcas registradas de MandrakeSoft S.A.; Linux es
una marca registrada de Linus Torvalds; UNIX es una marca registrada de The Open Group en los Estados
Unidos de Amrica y otros pases. Todas las otras marcas registradas y copyrights son la propiedad de sus
dueos respectivos.

2. Acerca de Mandrake Linux


Mandrake Linux es una distribucin GNU/Linux soportada por MandrakeSoft S.A. MandrakeSoft naci en
la Internet en 1998 con el propsito principal de brindar un sistema GNU/Linux fcil de usar y amigable. Los
dos pilares de MandrakeSoft son el cdigo abierto y el trabajo colaborativo.

2.1. Contacte con la comunidad Mandrake


A continuacin tiene varios vnculos con la Internet que lo llevan a varias fuentes relacionadas con Mandrake
Linux. Si desea conocer ms acerca de la compaa MandrakeSoft debe conectarse al sitio web (http://
www.mandrakesoft.com) de la misma. Tambin est el sitio web de la distribucin Mandrake Linux (http:
//www.mandrakelinux.com) y todos sus derivados.
Antes que nada, MandrakeSoft se complace en presentar su nueva plataforma de ayuda abierta. MandrakeExpert (http://www.mandrakeexpert.com) no es slo otro sitio web donde las personas ayudan a otras con
sus problemas de computacin a cambio de honorarios prepagos, que se deben pagar sin importar la calidad

Prefacio
del servicio recibido. Este sitio ofrece una experiencia nueva basada en la confianza y el placer de premiar a
otros por sus contribuciones.
Adems de esa plataforma, MandrakeCampus (http://www.mandrakecampus.com/) proporciona a la comunidad GNU/Linux cursos abiertos de entrenamiento y educacin sobre todas las tecnologas y temas relacionados con la filosofa del cdigo abierto. Tambin brinda a los maestros, tutores, y alumnos un lugar donde
pueden intercambiar sus conocimientos.
Hay un sitio para el mandrakelico denominado Mandrake Forum (http://www.mandrakeforum.com/):
sitio primario para los consejos, trucos, rumores, pre-anuncios, noticias semi-oficiales, y ms, relacionados con
Mandrake Linux. Adems, este es el nico sitio web interactivo que mantiene MandrakeSoft, por lo tanto, si
tiene algo que decirnos, o algo que quiera compartir con otros usuarios, no busque ms: este es un lugar para
hacerlo!
En la filosofa del cdigo abierto, MandrakeSoft est ofreciendo varias formas de soporte (http://www.
mandrakelinux.com/es/ffreesup.php3) para las distribuciones Mandrake Linux. En particular, est invitado a participar en las distintas Listas de correo (http://www.mandrakelinux.com/es/flists.php3), donde
toda la comunidad de Mandrake Linux demuestra su vivacidad y bondad.
Finalmente, no olvide de conectarse a MandrakeSecure (http://www.mandrakesecure.net/). Este sitio rene
todo el material relacionado con la seguridad sobre las distribuciones Mandrake Linux. All encontrar avisos
de seguridad y errores, as como tambin artculos relacionados con la seguridad y la privacidad. Un sitio
obligatorio para cualquier administrador de servidores o usuario al que le concierne la seguridad.

2.2. Soporte a Mandrake


A pedido popular, MandrakeSoft propone a sus clientes felices que hagan una donacin (http://www.
mandrakelinux.com/donations/) para soportar los desarrollos futuros para el sistema Mandrake Linux. Su
contribucin ayudar a MandrakeSoft a proporcionar a sus usuarios una distribucin mucho mejor, ms segura, fcil, actualizada, y con soporte para ms idiomas.
Las habilidades de los muy talentosos sern sumamente tiles para alguna de las muchas tareas necesarias
para realizar un sistema Mandrake Linux:

Empaquetado: un sistema GNU/Linux est compuesto principalmente por programas recogidos de la Internet. Estos programas tienen que empaquetarse de forma tal que puedan funcionar juntos.

Programacin: hay muchsimos proyectos que MandrakeSoft soporta directamente: encuentre el que ms
le atraiga, y proponga su ayuda al desarrollador principal.

Internacionalizacin: la traduccin de las pginas web, los programas,y la documentacin respectiva de los
mismos.

Documentacin: por ltimo pero no por menos, el libro que Usted est leyendo en este momento necesita
de mucho esfuerzo para mantenerse actualizado con la evolucin rpida del sistema.

Consulte la pgina de contribuyentes (http://www.mandrakesoft.com/labs/) para saber ms acerca de la


forma en la que Usted puede ayudar a la evolucin de Mandrake Linux.
El 3 de agosto de 2001, luego de haberse establecido como uno de los lderes mundiales en Cdigo Abierto
y software GNU/Linux , MandrakeSoft se convirti en la primer compaa de Linux listada en un mercado
de acciones Europeo. Si ya es un accionista de MandrakeSoft o desea convertirse en uno, nuestras pginas
para los inversores (http://www.mandrakesoft.com/company/investors) le brindan la mejor informacin
financiera relacionada con la compaa.

2.3. Compre productos Mandrake


Para los fans de Mandrake Linux que se desean beneficiar de la facilidad de la compra en lnea, MandrakeSoft ahora vende sus productos mundialmente desde su sitio web de e-commerce (comercio electrnico):
MandrakeStore (http://www.mandrakestore.com). All encontrar software Mandrake Linux sistemas
operativos y herramientas de red (cortafuegos), pero tambin ofertas de suscripcin especiales, soporte, software de terceros y licencias, documentacin de entrenamiento, libros relacionados con GNU/Linux , as como
tambin goodies relacionados con MandrakeSoft.

ii

Prefacio

3. Acerca de esta Gua de Instalaci


on y del Usuario de MandrakeSecurity
Este libro incluye un captulo introductorio, que lo guiar en la instalacin y el hardware especfico necesario
para operar MandrakeSecurity . Se recomienda que primero lea Guas para comenzar, pgina 1 que le dar una
visin general del ciclo de vida de y las tareas de mantenimiento de MandrakeSecurity .
Luego pasaremos por el proceso de instalacin (Instalacin con DrakX, pgina 3) Es bastante directo y simple,
pero si esta es su primer instalacin GNU/Linux , se recomienda seguir este captulo mientras instala MandrakeSecurity
Luego viene el contenido! Despus de este captulo introductorio vienen dos partes. La primera se denomina
Configuracin y administracin de MandrakeSecurity y cubre todos los pasos necesarios para ejecutar MandrakeSecurity con eficiencia. Aprender los pasos bsicos en Configuracin bsica de MandrakeSecurity, pgina 21 y
cmo configurar la conexin con la Internet de su servidor en Configurando el acceso a la Internet, pgina 33.
Luego, Servicios: DHCP, Proxy, DNS, y ms, pgina 51 explicar cmo configurar su servidor como un servidor
DNS, DHCP y Proxy, adems de permitirle utilizar los sistemas de deteccin de intrusiones (IDS).
Uno de los captulos ms importantes de la primer parte es Configurando el comportamiento propiamente dicho del
cortafuegos, pgina 69. Trata sobre la seccin de las reglas del cortafuegos en la interfaz de MandrakeSecurity
y lo ayudar a definir el trfico entrante/saliente de su red. Los ltimos captulos de esa primer parte tratan
con la configuracin inicial y reconfiguraciones y ajustes posteriores de los servicios. Encontrar informacin
sobre esos temas en Monitoreando el cortafuegos, pgina 117 y en Herramientas de administracin, pgina 129.
La segunda parte es ms terica, esa es la razn del ttulo: Teora aplicada. Se divide en dos captulos. El primero,
Seguridad bajo GNU/Linux, pgina 137, est basado en un COMO de Kevin Fenzi y Dave Wreski. El propsito
principal del mismo es tratar los temas de seguridad que, sin lugar a dudas, enfrentarn los administradores.
Alterna entre temas filosficos y prcticos sobre como aumentar la seguridad de su sistema frente a crackers
potenciales.
El segundo y ltimo captulo de la segunda parte se denomina Generalidades sobre redes, pgina 177. Est basado en un COMO de Joshua D. Drake {POET}. Este captulo contiene vnculos a otra documentacin especfica
de redes sobre, por ejemplo, TCP/IP; el mismo trata los temas esenciales necesarios para operar una red de
manera apropiada; explica principios orientados a la tecnologa tales como IP y temas relacionados con Ethernet, tecnologas comunes para la mayora de las PC, as como tambin tecnologas de red particulares como
AppleTalk y Relevo de Tramas.
Terminamos este manual con dos apndices informativos. El primero, Dnde encontrar informacin adicional,
pgina 201, apunta a fuentes de informacin en la Internet. Y el segundo es Licencia de Documentacin Libre
GNU, pgina 209, que es la licencia que cubre el contenido de este libro.

4. Autores y traductores
Las personas siguientes contribuyeron a la realizacin de los manuales de Mandrake Linux:

Camille Bgnis

Fabian Mandelbaum

Roberta Michel

Rodrigo Pedrosa

Jel Pomerleau

Christian Roy

Las personas que escribieron el material importado que se lista en Tabla 1.

Tambin participaron, en mayor o menor grado, las personas siguientes: Amaury Amblard-Ladurantie, Florin
Grad y Philippe Libat .

iii

Prefacio

5. Palabras del traductor


Como podr notar a medida que pasa de un captulo a otro, este libro es un compendio escrito por varios
autores. Incluso cuando se tom mucho cuidado en asegurar la consistencia tcnica y del idioma, obviamente
se conserva el estilo de cada autor.
Algunos autores escriben en ingls, aunque puede no ser su lengua materna. Por lo tanto, puede notar algunas
construcciones idiomticas extraas; no dude en hacernos saber sobre esto si algo no le parece claro.
Soy de Argentina y los trminos de informtica que utilizamos aqu pueden no ser los mismos a los empleados
en otros pases de habla hispana (mouse en vez de ratn, archivo en vez de fichero, etc.), sin embargo he tratado
de utilizar trminos que puedan ser comprendidos por todos. Espero que la eleccin haya sido adecuada.
Siguiendo la filosofa del Cdigo Abierto (Open Source), las contribuciones siempre son muy bienvenidas!
Usted puede proporcionar ayuda a este proyecto de documentacin de muchas maneras diferentes. Si tiene
un montn de tiempo, puede escribir un captulo completo. Si habla una lengua extranjera, puede ayudar
con la internacionalizacin de este libro. Si tiene ideas acerca de como mejorar el contenido, hganoslo saber;
incluso son bienvenidas las advertencias sobre errores de tecleo u ortografa!
Para mayor informacin sobre el proyecto de documentacin de Mandrake Linux, por favor contacte al administrador de la documentacin (mailto:documentation@mandrakesoft.com).

6. Las herramientas usadas en la elaboraci


on de este manual
Este manual se escribi en DocBook . Borges (http://www.linux-mandrake.com/en/doc/project/Borges/)
se utiliz para administrar el conjunto de archivos involucrados. Los archivos fuente XML se procesaron con
openjade y jadetex usando las hojas de estilo de Norman Walsh personalizadas. Las instantneas de pantallas
se tomaron con xwd o GIMP y se convirtieron con convert (del paquete ImageMagick ). Todas estas piezas de
software estn disponibles en su distribucin Mandrake Linux, y todas las partes de las mismas son software
libre.

7. Convenciones usadas en este libro


7.1. Convenciones tipogr
aficas
Para poder diferenciar con claridad algunas palabras especiales del flujo del texto, el equipo de documentacin utiliza representaciones diferentes. La tabla siguiente le muestra un ejemplo de cada palabra o grupo de
palabras especiales con su representacin real y lo que esto significa.
Ejemplo
formateado

Significado

i-nodo

Este formateo se usa para enfatizar un trmino tcnico.

ls -lta

Indica comandos, o argumentos a dichos comandos. Este formateo se aplica a los


comandos, las opciones y los nombres de archivos. Vea tambin la seccin sobre
Sinopsis de comandos, pgina v.

ls(1)

Referencia a una pgina Man. Para obtener la pgina en un shell (o lnea de


comandos), simplemente ingrese man 1 ls.

$ ls *.pid
imwheel.pid

El equipo de documentacin utiliza este formateado para instantneas de los textos


que $Usted puede ver en su pantalla. Esto incluye a las interacciones con la
computadora, los listados de programa, etc.

localhost

Esto es algn dato literal que por lo general no encaja en alguna de las categoras
definidas previamente. Por ejemplo, una palabra clave tomada de un archivo de
configuracin.

Apache

Esto se usa para los nombres de las aplicaciones. Por ejemplo, no se usa en el nombre
de un comando sino en contextos particulares donde el nombre del comando y de la
aplicacin pueden ser el mismo pero se formatean de maneras diferentes.

Configurar

iv

Esto se usa para las entradas de men o las etiquetas de las interfaces grficas en
general. La letra subrayada indica la tecla del atajo si es aplicable.

Prefacio
Ejemplo
formateado

Significado

Bus-SCSI

denota una parte de una computadora o una computadora en s misma.

Le petit chaperon
rouge

Indica que estas palabras que pertenecen a una lengua extranjera.

Atencin!

Por supuesto, esto se reserva para las advertencias especiales con el fin de enfatizar la
importancia de las palabras; lalo en voz alta :-)

Este icono resalta una nota. Generalmente, es un comentario en el


contexto corriente que brinda informaci
on adicional.

Este icono representa un consejo. Puede ser un consejo general


sobre como realizar una acci
on especfica, o una caracterstica interesante que puede simplificarle la vida.

Tenga sumo cuidado cuando vea este icono. Siempre significa que se
tratar
a con informaci
on sumamente importante acerca de un tema
en particular.

7.2. Convenciones generales


7.2.1. Sinopsis de comandos
El ejemplo que sigue le muestra los signos que encontrar en este manual cuando el autor describe los argumentos de un comando:
comando <argumento no textual>
[--opci
on={arg1,arg2,arg3}] [argumento opcional ...]

Estas convenciones son tpicas y las encontrar en otros lugares, por ejemplo las pginas Man.
Los signos < (menor que) y > (mayor que) denotan un argumento obligatorio que no debe ser copiado
textualmente, sino que debe reemplazarse de acuerdo con sus necesidades. Por ejemplo, <archivo> se refiere
al nombre real de un archivo. Si dicho nombre es pepe.txt,Usted debera teclear pepe.txt, y no <pepe.txt>
o <archivo>.
Los corchetes [ ] denotan argumentos opcionales, los cuales puede o no incluir en el comando.
Los puntos suspensivos ... significan que en ese lugar se puede incluir un nmero arbitrario de elementos.
Las llaves { } contienen los argumentos permitidos en este lugar. Uno de ellos debe ser puesto aqu.

7.2.2. Notaciones especiales


De vez en cuando se le indicar que presione las teclas Ctrl+R. Eso significa que Usted debe presionar y
mantener presionada la tecla Ctrl mientras presiona la tecla R tambin. Lo mismo aparece y vale para las
teclas Alt y Maysculas.
Tambin acerca de los mens, ir a la opcin del men ArchivoResumir (Ctrl+R) significa: hacer clic sobre
el texto Archivo sobre el men (generalmente horizontal en la parte superior de la ventana) y luego sobre el
men vertical que aparece, hacer clic sobre la opcin Resumir. Adicionalmente, se le informa que puede usar
la combinacin de teclas Ctrl+R como se describi anteriormente, para lograr el mismo resultado.

Prefacio
7.2.3. Usuarios gen
ericos del sistema
Siempre que ha sido posible, hemos utilizado dos usuarios genricos en nuestros ejemplos:
Reina Pingusa

Este usuario se crea en el momento de la instalacin.

Peter Pingus

El administrador del sistema crea ms tarde a este


usuario.

vi

Captulo 1. Comenzando
En este captulo introductorio, revisaremos todos los pasos de configuracin previos necesarios antes de utilizar los productos MandrakeSecurity . Ya sea si Usted desea utilizar MandrakeSecurity por medio de un
aparato o directamente desde una instalacin Mandrake Linux, este captulo es para Usted.

1.1. Guas para comenzar


La lista cronolgica que se presenta aqu debera guiarlo a travs de todo el ciclo de vida de su cortafuegos.
Debe leerla con cuidado antes de hacer cosa alguna, y consultar las secciones del manual que se citan como se
le instruye.

1. Requisitos de hardware. Si est construyendo su cortafuegos a partir de una PC estndar, verifique si su


hardware es adecuado con respecto a sus necesidades en Requisitos de hardware, pgina 1.
2. Instalacin. Instale una distribucin mnima en la mquina objetivo, siguiendo las instrucciones en Instalacin con DrakX, pgina 3.
3. Primer conexin y configuraciones bsicas. Configure los parmetros bsicos del sistema y el acceso a la
Internet: Configuracin bsica de MandrakeSecurity, pgina 21.
4. Activacin de los servicios. Los servicios que Usted desea activar de los que le propone MandrakeSecurity : Servicios: DHCP, Proxy, DNS, y ms, pgina 51.
5. Configuracin de las reglas del cortafuegos. Filtrar el trfico que pasa por la pasarela:Configurando el
comportamiento propiamente dicho del cortafuegos, pgina 69.
6. Configuracin de la VPN. Si desea establecer una Red Privada Virtual (VPN) con otro sitio remoto equipado con MandrakeSecurity : Configuracin de VPN, pgina 91.
7. Configuracin de los sistemas cliente. Ahora es el momento de conectar sus diferentes servidores y mquinas al cortafuegos. Configure los servidores en la DMZ de acuerdo a las reglas del cortafuegos aadidas
en MandrakeSecurity . Para los clientes, siga las instrucciones en Configuracin de los clientes enmascarados, pgina 103.
8. Pruebas. Simplemente debe asegurarse que los distintos servicios configurados estn funcionando de
manera adecuada. Tambin pruebe que las diferentes reglas del cortafuegos realmente estn dando el
resultado esperado.
9. Copia de respaldo de la configuracin. Obligatorio, no es necesario insistir: Respaldar y Restaurar, pgina
130.
10. Monitoreo del sistema. Ahora su sistema completo est en produccin y cumple con su cometido. Para
asegurarse que todo sigue como se espera a medida que pasa el tiempo, debe tomar el buen hbito de
verificar regularmente los indicadores de vida del sistema: Monitoreando el cortafuegos, pgina 117.
11. Cambiar las contraseas. Es sumamente importante cambiar peridicamente la contrasea de admin, usada para acceder a su sistema cortafuegos. Para eso, debe conectarse a la pgina Configuracin del sistema
Cuenta: Cambiando la contrasea del administrador, pgina 28.
12. Actualizacin del sistema. Para asegurarse que el cortafuegos siempre est en lo mximo de la seguridad, MandrakeSoft publica con regularidad paquetes actualizados de las aplicaciones para las que se
han descubierto y corregido problemas de seguridad o errores. Debe asegurarse de instalar los paquetes
actualizados ni bien estn disponibles: Actualizar el software, pgina 133.
13. Reconfiguracin completa del sistema. En caso que sea absolutamente necesario: haga copia de respaldo
de la configuracin; desinstale los paquetes naat-* del sistema; instale el paquete snf-es; restaure la
configuracin.

Captulo 1. Comenzando

1.2. Requisitos de hardware


Si ha elegido instalar MandrakeSecurity en una PC estndar, aqu tiene algunas guas bastante aproximadas
con respecto al hardware necesario para dos configuraciones diferentes. Luego haremos una revisin rpida
del proceso de instalacin.

Configuraci
on

Red local limitada sin DMZ y tr


afico
limitado

Red local con una DMZ que aloja varios


servicios de Internet p
ublicos.

Procesador

Pentium 166

Pentium III

RAM

64MB

128MB

Disco rgido

2GB

10GB

Interfaces de red

Ethernet (LAN) + Internet

2*Ethernet (LAN+DMZ) + Internet

Tabla 1-1. Requisitos de hardware


Por supuesto esos nmeros son puramente indicativos y son altamente dependientes de la utilizacin efectiva
de la red. La configuracin tendr que actualizarse dependiendo de los servicios que realmente estn activos
en el cortafuegos. Verifique regularmente la carga del sistema: (Monitoreando el cortafuegos, pgina 117) de
forma tal de poder actuar antes que su servidor se sature.

Captulo 2. Instalaci
on con DrakX
2.1. Introducci
on al instalador de MandrakeSecurity
DrakX es el programa de instalacin de MandrakeSecurity . Su facilidad de uso ha sido mejorada con una interfaz grfica que le permite avanzar y retroceder a travs de la instalacin y formula preguntas a medida que
sea necesario. Con DrakX , no importa si Usted es un usuario nuevo de MandrakeSecurity o un profesional
avezado El trabajo de DrakX es brindarle una instalacin suave y una transicin simple hacia MandrakeSecurity .

Figura 2-1. Primersima pantalla de Bienvenida

Cuando comienza la instalacin, la primer pantalla que aparece presenta algo de informacin y le brinda
opciones de instalacin (Figura 2-1) Si no hace algo, simplemente comenzar la instalacin en modo normal o
linux. Los prrafos siguientes presentarn algunas opciones y parmetros que puede pasar al programa de
instalacin si Usted se encuentra en problemas.
Si presiona F1 se abrir una pantalla de ayuda. Aqu tiene algunas opciones tiles de entre las cuales puede
elegir:

vgalo (modo vga): si intent una instalacin normal y no pudo obtener la interfaz grfica que se muestra
debajo en Eligiendo su idioma, pgina 4, puede intentar ejecutar la instalacin en baja resolucin. Esto ocurre
con ciertos tipos de tarjeta grfica, por lo que MandrakeSecurity le brindar una cantidad de opciones para
solucionar problemas con hardware antiguo. Para intentar la instalacin en el modo de baja resolucin,
simplemente debe ingresar vgalo en el prompt que se le presenta aqu.

text (modo texto): si su tarjeta de vdeo es realmente antigua, y la instalacin grfica no funciona en absoluto, siempre puede elegir usar la instalacin en modo texto. Debido a que todas las tarjetas de vdeo pueden
mostrar texto, esta es la instalacin de ltimo recurso. Sin embargo, no debe preocuparse no es muy
probable que necesite utilizar la instalacin de modo texto.

Captulo 2. Instalacin con DrakX

expert (modo experto): en algunos casos raros, su PC puede parecer que est congelada o trabada durante
la fase de deteccin del hardware. Si ocurre esto, entonces aada la palabra expert como parmetro para
decirle al programa de instalacin que obvie la deteccin de hardware. Debido a que DrakX no buscar
el hardware, Usted tendr que proporcionar los parmetros del hardware de forma manual ms adelante
en la instalacin. El parmetro expert se puede aadir a los modos previos, por lo que puede terminar
especificando
boot: vgalo expert

para realizar una instalacin grfica de baja resolucin sin que DrakX realice una bsqueda de hardware.

Al seleccionar el modo expert se le pedir


an m
as detalles acerca del
proceso de instalaci
on, permitiendole realizar una instalaci
on m
as
personalizada.

opciones del ncleo: por lo general, las opciones del ncleo no son necesarias para la mayora de las mquinas. Hay unos pocos casos de placas principales que reportan de manera incorrecta la cantidad de memoria
instalada debido a errores en el diseo del BIOS. Si necesita especificar manualmente la cantidad de memoria DRAM instalada en su PC, utilice el parmetro mem= xxxM. Por ejemplo, para comenzar la instalacin en
modo normal con una computadora que tiene 256 MB de memoria, su lnea de comandos debera parecerse
a esto:
boot: linux mem=256M

Ahora que hemos pasado por lo que podra fallar, avancemos al proceso de instalacin propiamente dicho.
Cuando ingresa a la instalacin propiamente dicha obtiene una bonita interfaz grfica (Figura 2-2) Sobre la
izquierda puede ver las diferentes fases de instalacin. Dependiendo del nivel de progreso de la instalacin,
algunas fases estarn o no disponibles. Si lo estn, se resaltarn cuando apoye el cursor del ratn sobre las
mismas.
Los colores de los botones sobre la izquierda de la pantalla le permiten ver rpidamente qu est pasando con
la instalacin:

rojo: todava no se ha llevado a cabo esta fase de la instalacin

naranja: esta es la fase de la instalacin que se est procesando

verde: esta fase de la instalacin ya ha sido configurada. Sin embargo, nada le impide volver a la misma en
caso que lo necesite o lo desee.

Esta gua asume que est realizando una instalacin tpica paso a paso, como se describe debajo.

2.2. Eligiendo su idioma


El primer paso es elegir su idioma preferido.

Captulo 2. Instalacin con DrakX

Figura 2-2. Eligiendo el idioma predeterminado

Su eleccin de idioma preferido afectar al idioma de la documentacin, el instalador y el sistema en general.


Al hacer clic sobre el botn Avanzado podr seleccionar otros idiomas para instalar en su mquina, instalando
as los archivos especficos para la documentacin del sistema y las aplicaciones. Por ejemplo, si albergar
a gente de Francia en su mquina, seleccione Espaol como idioma principal en la vista de rbol y Francs|Francia en la seccin avanzada.
Note que se pueden instalar mltiples idiomas. Una vez que ha seleccionado los idiomas adicionales haga clic
sobre el botn Aceptar para continuar.

La interfaz web de MandrakeSecurity no soporta todos los idiomas que se listan aqu.

Captulo 2. Instalacin con DrakX

2.3. T
erminos de licencia de la distribuci
on

Antes de continuar, debera leer cuidadosamente los trminos de la licencia. La misma cubre a toda la distribucin MandrakeSecurity , y si Usted no est de acuerdo con todos los trminos en ella, haga clic sobre el
botn Rechazar. Esto terminar la instalacin de inmediato. Para continuar con la instalacin, haga clic sobre
el botn Aceptar.

Captulo 2. Instalacin con DrakX

2.4. Detecci
on y configuraci
on del disco

DrakX primero detectar cualquier dispositivo IDE presente en su computadora. Tambin buscar una o ms
tarjetas SCSI PCI en su sistema. Si se encuentra una tarjeta SCSI, DrakX instalar el controlador apropiado
automticamente.
Debido a que la deteccin de hardware a veces no detectar alguna pieza de hardware, DrakX le pedir que
confirme si tiene una tarjeta SCSI PCI. Si hace clic sobre S se le presentar una lista de tarjetas SCSI de la cual
elegir. Haga clic sobre No si sabe que no tiene hardware SCSI en su mquina. Si no est seguro puede verificar
la lista de hardware detectado en su mquina seleccionando Ver informacin sobre el hardware y haciendo clic
sobre Aceptar. Examine la lista de hardware y luego haga clic sobre el botn Aceptar para volver a la pregunta
sobre la interfaz SCSI.
Si tuvo que seleccionar su adaptador manualmente, DrakX le preguntar si desea especificar opciones para
el mismo. Debera permitir que DrakX sondee el hardware buscando las opciones especficas que necesita la
tarjeta para inicializarse adecuadamente. La mayora de las veces, DrakX pasar esta fase sin problema alguno.
Si DrakX no puede sondear las opciones para determinar automticamente qu parmetros deben pasarse,
Usted necesitar configurar manualmente el controlador.

Captulo 2. Instalacin con DrakX

2.5. Configuraci
on de su rat
on

Por lo general, DrakX no tienen problemas en detectar la cantidad de botones que tiene su ratn. Si no, asume
que Usted tiene un ratn de dos botones y lo configurar para que emule el tercer botn. El tercer botn
del ratn en un ratn de dos botones puede presionarse haciendo clic simultneamente sobre los botones
izquierdo y derecho del ratn. DrakX sabr automticamente si su ratn tiene una interfaz PS/2, serie o USB.
Si por alguna razn desea especificar un tipo de ratn diferente, seleccione el tipo apropiado de la lista que se
proporciona.
Si elige un ratn distinto al predeterminado, se le presentar una pantalla de prueba. Use los botones y la
rueda para verificar que la configuracin es correcta y el ratn funciona adecuadamente. Si el ratn no est
funcionando correctamente, presione la barra espaciadora o Intro para Cancelar la prueba y volver a la lista
de opciones.

Los ratones con rueda a veces no se detectan autom


aticamente, por
lo que debera seleccionar su rat
on de una lista. Debe asegurarse
de seleccionar el correspondiente en el puerto correcto al cual est
a
conectado. Luego que ha seleccionado el rat
on y ha presionado el
bot
on Aceptar, se muestra una imagen de un rat
on en la pantalla.
Debe mover la rueda de su rat
on para activarlo correctamente. Una
vez que ve que la rueda de la pantalla se mueve a medida que Usted
mueve la rueda de su rat
on, pruebe todos los botones y verifique
que el puntero del rat
on en la pantalla se mueve a medida que
Usted mueve su rat
on.

Captulo 2. Instalacin con DrakX

2.6. Configuraci
on del teclado

Dependiendo del idioma predeterminado que Usted eligi en Eligiendo su idioma, pgina 4, DrakX seleccionar
automticamente un tipo particular de configuracin del teclado. Sin embargo, podra no tener un teclado que
se corresponde exactamente con su idioma: por ejemplo, si Usted es un argentino que habla ingls, todava
podra desear que su teclado sea un teclado Latinoamericano. O si habla castellano pero est en Inglaterra
puede estar en la misma situacin en la que el idioma y su teclado no concuerdan. En ambos casos, este paso
de instalacin le permitir seleccionar un teclado apropiado de una lista.
Haga clic sobre el botn Ms para que se le presente la lista completa de los teclados soportados.

Captulo 2. Instalacin con DrakX

2.7. Selecci
on de los puntos de montaje

Ahora necesita elegir el lugar de su disco rgido donde se instalar su sistema operativo MandrakeSecurity .
Si su disco rgido est vaco o si un sistema operativo existente est utilizando todo el espacio disponible,
necesitar particionar el disco. Bsicamente, particionar un disco rgido consiste en dividirlo lgicamente para
crear espacio para instalar su sistema MandrakeSecurity nuevo.
Debido a que los efectos del particionado por lo general son irreversibles y pueden llevar a la prdida de datos
si ya hay un sistema operativo instalado en el disco, el particionado puede resultar intimidante y estresante si
Usted es un usuario inexperto. Por fortuna, DrakX incluye un asistente que simplifica este proceso. Antes de
continuar con este paso, por favor lea el resto de esta seccin y, por sobre todo, tmese su tiempo.
Si su disco rgido ya ha sido particionado, bien en una instalacin previa de GNU/Linux o por medio de otra
herramienta de particionado, seleccione las particiones apropiadas en las que desea instalar su sistema Linux.
Si no se han configurado particiones, deber crearlas utilizando el asistente. Dependiendo de la configuracin
de su disco rgido, estn disponibles varias opciones:

Usar espacio libre: esta opcin simplemente llevar a un particionado automtico de su(s) disco(s) vaco(s).
No se le pedirn ms detalles ni se le formularn ms preguntas.

Usar la particin existente: el asistente ha detectado una o ms particiones Linux existentes en su disco
rgido. Si desea utilizarlas, elija esta opcin. Si lo hace se le pedir que elija los puntos de montaje asociados
a cada una de las particiones. Los puntos de montaje legados se seleccionan automticamente, y por lo
general es una buena idea mantenerlos.

Usar el espacio libre en la particin Windows: si Microsoft Windows est instalado en su disco rgido y
ocupa todo el espacio disponible en el mismo, Usted tiene que liberar espacio para los datos de Linux. Para
hacerlo, puede borrar su particin y datos Microsoft Windows (vea las soluciones Borrar el disco entero
o Particionamiento de disco personalizado) o cambiar el tamao de su particin Windows FAT. El cambio
de tamao se puede realizar sin la prdida de datos, siempre y cuando Usted ha desfragmentado con
anterioridad la particin Windows y la misma utiliza el formato FAT. Tambin se recomienda hacer una
copia de respaldo de sus datos. Se recomienda esta solucin si desea utilizar tanto MandrakeSecurity como
Microsoft Windows en la misma computadora.

10

Captulo 2. Instalacin con DrakX


Antes de elegir esta opcin, por favor comprenda que despus de este procedimiento, el tamao de su
particin Microsoft Windows ser ms pequeo que ahora. Tendr menos espacio bajo Microsoft Windows
para almacenar sus datos o instalar software nuevo.

Borrar el disco entero: si desea borrar todos los datos y todas las particiones presentes en su disco rgido y
reemplazarlas con su nuevo sistema MandrakeSecurity , elija esta opcin. Tenga cuidado con esta solucin
ya que no podr revertir su eleccin despus de confirmarla.

Si elige esta opci


on, se borrar
an todos los datos en su disco.

Quitar Windows: simplemente esto borrar todo en el disco y comenzar particionando todo desde cero. Se
perdern todos los datos en su disco.

Si elige esta opci


on, se perder
an todos los datos en su disco.

Particionamiento de disco personalizado: elija esta opcin si desea particionar manualmente su disco rgido.
Tenga cuidado esta es una eleccin potente pero peligrosa y puede perder todos sus datos con facilidad.
Es por esto que esta opcin realmente slo se recomienda si Usted ya ha hecho algo as antes y tiene algo de
experiencia. Para ms instrucciones sobre cmo usar el utilitario DiskDrake , consulte la documentacin en
lnea para DiskDrake (http://www.linux-mandrake.com/en/doc/82/en/user.html/diskdrake.html).

2.8. Elecci
on de las particiones a formatear

11

Captulo 2. Instalacin con DrakX


Se debe formatear cualquier particin nueva que ha sido definida para que se pueda utilizar (formatear significa crear un sistema de archivos)
Puede desear volver a formatear algunas particiones ya existentes para borrar cualquier dato que pudieran
contener. Si as lo desea, por favor seleccione tambin dichas particiones.
Por favor note que no es necesario volver a formatear todas las particiones preexistentes. Debe volver a
formatear las particiones que contienen el sistema operativo (tales como /, /usr o /var) pero no tiene que
volver a formatear particiones que contienen datos que desea preservar (tpicamente /home)
Por favor, tenga sumo cuidado cuando selecciona las particiones. Despus de formatear, se borrarn todos los
datos en las particiones seleccionadas y no podr recuperarlos en absoluto.
Haga clic sobre Aceptar cuando est listo para formatear las particiones.
Haga clic sobre Cancelar si desea elegir otra particin para la instalacin de su sistema operativo MandrakeSecurity nuevo.
Haga clic sobre Avanzada si desea seleccionar las particiones en las que se buscarn bloques defectuosos en el
disco.

2.9. Instalaci
on de los paquetes
Luego viene la instalacin del sistema propiamente dicha. La lista de paquetes est predefinida y no se puede
cambiar en este momento. El tiempo necesario para completar la instalacin depende de la velocidad de su
hardware. En la pantalla se mostrar una estimacin del tiempo restante para finalizar de forma tal que pueda
evaluar si tiene tiempo suficiente de disfrutar de una taza de caf.

2.10. Contrase
na de root

Este es el punto de decisin crucial para la seguridad de su sistema GNU/Linux : tendr que ingresar la contrasea de root. root es el administrador del sistema y es el nico autorizado a hacer actualizaciones, agregar
usuarios, cambiar la configuracin general del sistema, etc. Resumiendo, root puede hacer de todo! Es por
esto que deber elegir una contrasea que sea difcil de adivinar DrakX le dir si la que eligi es demasiado
fcil. Como puede ver, puede optar por no ingresar una contrasea, pero le recomendamos encarecidamente

12

Captulo 2. Instalacin con DrakX


que ingrese una. GNU/Linux es tan sensible a los errores del operador como cualquier otro sistema operativo. Debido a que root puede sobrepasar todas las limitaciones y borrar, sin intencin, todos los datos que se
encuentran en las particiones accediendo a las mismas sin el cuidado suficiente, es importante que sea difcil
convertirse en root.

El nivel de seguridad de MSEC est


a configurado, de manera predeterminada, en 4 (alto) La contrase
na debera ser una mezcla de
caracteres alfanumericos y debera tener al menos una longitud de
8 caracteres. Nunca escriba la contrase
na de root eso hace que
sea muy f
acil comprometer a un sistema.

Algo a tener en cuenta no haga la contrasea demasiado larga o complicada ya que Usted debe poder
recordarla!
La contrasea no se mostrar en la pantalla a medida que Usted la teclee. Por lo tanto, tendr que teclear la
contrasea dos veces para reducir la posibilidad de un error de tecleo. Si ocurre que Usted comete dos veces
el mismo error de tecleo, tendr que utilizar esta contrasea incorrecta la primera vez que se conecte.

2.11. Contrase
na del administrador
Luego se le pide que ingrese la contrasea del administrador del sistema (login: admin) Por razones de seguridad, se diferencia del usuario root, y tambin porque puede no ser la misma persona. Es esa cuenta, admin,
la que se necesitar para acceder a la interfaz web de MandrakeSecurity . Para elegir esta contrasea aplican
los mismos criterios que para la eleccin de la contrasea de root.

2.12. Agregar un usuario

Ya se han agregado todos los usuarios necesarios por lo que no debera necesitar agregar ms usuarios para
la operacin normal de MandrakeSecurity . Sin embargo, si planea utilizar la caracterstica de autenticacin
PAM de squid , aqu puede aadir los usuarios que estarn autorizados.
El primer campo le pide su nombre real. Esto no es obligatorio, por supuesto ya que, en realidad, puede
ingresar lo que desee. DrakX tomar entonces la primer palabra que ingres y la copiar al campo Nombre de
13

Captulo 2. Instalacin con DrakX


usuario. Este es el nombre que este usuario en particular utilizar para ingresar al sistema. Si lo desea, puede
obviar lo predeterminado y cambiar el nombre de usuario. Luego tendr que ingresar aqu una contrasea. La
contrasea de un usuario no privilegiado (regular) no es crucial como la de root desde el punto de vista de
la seguridad, pero esto no es razn alguna para obviarla: despus de todo, son sus archivos los que podran
estar en riesgo.
Luego puede elegir hacer que es usuario sea miembro de uno o ms grupos especiales que le darn privilegios
especiales. Marque las casillas de los privilegios que desea brindar a dicho usuario.
Una vez que hace clic sobre Aceptar el usuario, puede aadir usuarios adicionales. Seleccione Hecho cuando
haya finalizado de aadir usuarios.

Hacer clic sobre el bot


on Avanzada le permite cambiar el shell
predeterminado para ese usuario (bash por defecto)

2.13. Configurar su red

Ahora configurar la conexin a su red local (LAN) MandrakeSecurity intentar detectar automticamente
los dispositivos de red y mdem. Si esta deteccin falla, quite la marca de la casilla Usar deteccin automtica.

Si bien aqu se ofrecen muchos tipos de conexi


on, no configure
su conexi
on con la Internet ahora. Debera limitarse a configurar
el acceso a la red LAN Ethernet, de forma tal que luego pueda
conectarse a la interfaz administrativa y configurar otras conexiones
con facilidad por medio de la misma.

No detallaremos cada opcin de configuracin slo debe asegurarse que tiene todos los parmetros como:
direccin IP, pasarela predeterminada, servidores DNS, etc. que le brind su Proveedor de Servicios de Internet
o el administrador de su sistema.

14

Captulo 2. Instalacin con DrakX


Ms tarde, podr configurar todas sus otras interfaces de red (Internet, DMZ, etc.) por medio de la interfaz
MandrakeSecurity .

2.14. Donde debera colocar el cargador de arranque

Debe indicar donde desea colocar el cargador de arranque necesario para arrancar en GNU/Linux .
A menos que sepa exactamente lo que est haciendo, elija Primer sector del disco (MBR).
Luego se le presentam las diferentes entradas de arranque que se propondrn al momento de arrancar el
sistema. Aqu las puede modificar.

15

Captulo 2. Instalacin con DrakX

2.15. Disquete de arranque

El CD-ROM de MandrakeSecurity tiene un modo de rescate incorporado. Usted puede acceder al mismo
presionando la tecla F1 durante el arranque y tecleando rescue en el prompt. Si su computadora no puede arrancar desde el CD-ROM, hay al menos dos situaciones en las que resulta crtico tener un disquete de
arranque:

cuando instala el cargador de arranque, DrakX sobreescribir el sector de arranque ( MBR) de su disco
principal (a menos que est utilizando otro administrador de arranque) de forma tal que pueda iniciar o
bien Windows o bien GNU/Linux (asumiendo que tiene Windows en su sistema) Si necesita volver a instalar
Windows , el proceso de instalacin de Microsoft sobreescribir el sector de arranque, y entonces Usted no
podr iniciar GNU/Linux !

si surge un problema y Usted no puede iniciar GNU/Linux desde el disco rgido, este disquete ser la nica
manera de iniciar GNU/Linux . El mismo contiene una buena cantidad de herramientas del sistema para
restaurar un sistema que colaps debido a una falla de energa, un error de tecleo infortunado, un error u
olvido de una contrasea, o cualquier otro motivo.

Si responde S, se le pedir que inserte un disquete dentro de la disquetera. Dicho disquete debe estar vaco o
contener datos que no necesite DrakX formatear el disquete y lo sobre-escribir por completo.

16

Captulo 2. Instalacin con DrakX

2.16. Instalaci
on de actualizaciones desde la Internet

Es probable que cuando instale MandrakeSecurity algunos paquetes se hayan actualizado desde la publicacin inicial. Se pueden haber corregido algunos errores, y solucionado problemas de seguridad. Para permitir
que Usted se beneficie de estas actualizaciones, ahora se le propone transferirlas desde la Internet. Elija S si
tiene funcionando una conexin con la Internet, o No si prefiere instalar los paquetes actualizados ms tarde.
Si responde S se muestra una lista de lugares desde los que se pueden obtener las actualizaciones. Elija el ms
cercano a Usted. Luego aparece un rbol de seleccin de paquetes: revise la seleccin y presione Instalar para
transferir e instalar los paquetes seleccionados, o Cancelar para abortar.

17

Captulo 2. Instalacin con DrakX

2.17. Se termin
o!

Ya est. Ahora la instalacin est completa y su sistema GNU/Linux est listo para ser utilizado. Escriba con
cuidado la URL que se le da en ese dilogo, es la direccin que Usted tendr que utilizar en su navegador web
para acceder a la interfaz web de MandrakeSecurity con la cuenta admin. Ahora, simplemente haga clic sobre
Aceptar dos veces para volver a arrancar el sistema.

2.18. Como desinstalar Linux


El proceso de desinstalacin consta de dos pasos:
1. Borrar todas las particiones en su disco rgido y reemplazarlas por una nica particin FAT por medio de
DiskDrake .
2. Desinstalar el cargador de arranque del Sector de Arranque Maestro (MBR) Para hacer esto, arranque
bajo DOS y ejecute el comando fdisk /mbr.
Si tiene otro sistema operativo, por favor consulte la documentacin del mismo para determinar como
realizar la misma operacin.
Adis, y gracias por utilizar MandrakeSecurity !

18

Presentando la interfaz MandrakeSecurity


Los captulos siguientes estn dedicados a la utilizacin de la herramienta de administracin web de MandrakeSecurity , que le permite controlar de manera remota a su cortafuegos desde cualquiera de las mquinas en
su LAN. El primero, Configuracin bsica de MandrakeSecurity, pgina 21, lo guiar por la configuracin bsica
de su cortafuegos. Podr crear cuentas, detectar y aadir tarjetas de red (NICs), configurar un servidor de
registro del sistema, as como tambin configurar su hora local y configurar un servidor NTP (Network Time
Protocol, Protocolo de la Hora de Red)
Luego viene Configurando el acceso a la Internet, pgina 33, que lo guiar para que pueda configurar la conexin
de su servidor con la Internet. El tercero, Servicios: DHCP, Proxy, DNS, y ms, pgina 51, le permitir configurar
servicios como DHCP, DNS y ajustes del proxy web. Tambin podr activar un IDS (Intrusion Detection System,
Sistema de Deteccin de Intrusiones) como Prelude y Snort , as como tambin bloquear ciertos dominios o
URL que no desea que visiten sus usuarios.
Configurando el comportamiento propiamente dicho del cortafuegos, pgina 69 cubre todas las pantallas que se incluyen en la seccin Reglas del Cortafuegos de MandrakeSecurity . En esta seccin de la interfaz web, tambin
podr permitir/negar el trfico entre las zonas.
Finalmente, nos concentraremos en el monitoreo del sistema (esencial para garantizar una operacin sin sobresaltos de su sistema cortafuegos) en Monitoreando el cortafuegos, pgina 117 y en las herramientas para
mantener su sistema en Herramientas de administracin, pgina 129.
Esperamos que disfrute de MandrakeSecurity !

20

Captulo 3. Configuraci
on b
asica de MandrakeSecurity
3.1. Introducci
on
En este captulo presentaremos brevemente la interfaz y cmo navegar por la misma. Esta se compone bsicamente de un men que lleva a asistentes de configuracin.

3.1.1. Conectando
La conexin al servidor cortafuegos desde cualquier cliente se realiza por medio de cualquier navegador
web grfico moderno. La comunicacin est cifrada por completo, de forma tal que nadie puede espiar la
informacin que se transmite, en especial las contraseas.
Para iniciar la sesin, ingrese en el campo de ubicacin de su navegador la URL que se le di en la ltima
pantalla del proceso de instalacin. Debera ser una direccin parecida a la siguiente:
https://192.168.1.160:8443/

donde 192.168.1.160 es la direccin IP del cortafuegos que Usted eligi en su red LAN.
Luego obtendr algunas pantallas sobre un certificado, acptelas. Finalmente aparece la pantalla de bienvenida de MandrakeSecurity (Figura 3-1)

Figura 3-1. La ventana de conexin para conectarse a MandrakeSecurity


Complete con el login y contrasea de admin como se definieron durante la instalacin. Siempre que se le pida
identificarse para conectarse a la interfaz, utilice la cuenta admin. La primera vez que se conecte debe cambiar
la contrasea, consulte Cambiando la contrasea del administrador, pgina 28.

21

Captulo 3. Configuracin bsica de MandrakeSecurity

3.1.2. La interfaz

Figura 3-2. Pantalla de bienvenida de MandrakeSecurity


La interfaz est diseada de manera tradicional con un men de dos niveles sobre la izquierda y un marco
de contenido sobre la derecha. Este ltimo contendr los pasos diferentes de cada asistente correspondiente
al segundo nivel de las entradas del men seleccionado. Ms adelante, denominaremos seccin al tema
cubierto por una entrada del men de primer nivel, y sub-seccin para las entradas de men de segundo
nivel.
Cada pgina del asistente se compone de:

texto informativo: de qu se trata la pantalla,

campos de entrada del usuario: para completar o seleccionar de acuerdo a sus elecciones;

botones: para llevar a cabo acciones especiales.

Tambin hay iconos, estos son los ms importantes:


El botn Ayuda. Muestra una ventana emergente con ayuda sobre esa pantalla en
particular, que le informa el significado de los distintos elementos presentes en la misma.
El botn Cancelar. Descarta todos los cambios realizados desde el comienzo del asistente
y regresa a la pgina principal de MandrakeSecurity .
El botn Anterior. Vuelve al paso anterior del asistente.
El botn Siguiente. Avanza al paso siguiente del asistente. Note que las elecciones
realizadas en una pgina no se validan hasta que se presione el botn Aplicar.
El botn Aplicar. Cuando Usted llega a la ltima pantalla de un asistente, este botn le
permite confirmar las elecciones y las aplica al sistema. No debe olvidarse de utilizarlo
cuando haya finalizado un asistente o perder todos sus cambios!

3.1.3. Desconexi
on
Es muy importante desconectarse de manera explcita de la interfaz cuando haya terminado con todas sus
22

Captulo 3. Configuracin bsica de MandrakeSecurity


tareas, o siempre que se aleje de su escritorio por un cierto tiempo. En realidad, el simple hecho de cerrar el
navegador generalmente no es suficiente ya que el servidor no tiene forma de saber eso, y alguien que utilice
su computadora justo despus que Usted podra tomar su sesin donde Usted la dej.

Figura 3-3. La entrada del men para desconectarse


Siempre que termine con una sesin, simplemente debe hacer clic sobre ese icono. La prxima vez que intente
volver a conectarse se le volver a pedir que se identifique.

3.2. Configuraci
on b
asica del sistema
Esta seccin es para la configuracin bsica del servidor. Tambin permite que el administrador cambie su
contrasea para acceder a la interfaz.

3.2.1. Configuraci
on general del sistema

La informacin que se muestra aqu es muy general y sin embargo, esencial. Su sistema debe estar asociado con
un nombre as como tambin con un nombre de dominio. Los campos Sistema y Tiempo que lleva encendido
le dan informacin bsica acerca de su sistema.

Se atribuir un nombre al sistema. Luego, dicho nombre se asignar a una red local. En este punto, los parmetros a ingresar dependen de si Usted tiene o no un acceso permanente a la Internet con una direccin IP
fija.
Nombre del sistema

cortafuegos.empresa.net

Este campo contiene el nombre completo de host de su mquina: el nombre de la mquina seguido del nombre
de dominio, por ejemplo: cortafuegos.empresa.net.
Nombre de dominio

empresa.net

Este campo contiene el nombre de dominio de la mquina. Si Usted posee un nombre de dominio y tiene los
23

Captulo 3. Configuracin bsica de MandrakeSecurity


DNS necesarios apuntando a su direccin IP, utilcelo aqu. En caso contrario, use el nombre de dominio de su
proveedor de servicios de Internet (ISP).
Informacin del sistema

Linux cortafuegos.empresa.net 2.4.18-8.1mdksecure #1 ...

En este campo se lista, en orden: 1) el tipo de sistema operativo, 2) el nombre completo de la mquina, 3) la
versin del ncleo, 4) la fecha en la que fue instalado, y 5) el tipo de procesador.
Tiempo que lleva encendido

4:33pm up 1 day, 23:26, 7 users, load average: 0.00, 0.00, 0.00

En este campo se lista, en orden: 1) la hora local, 2) el tiempo que lleva encendido (en das, minutos y segundos), 3) la cantidad de usuarios conectados, 4) y el promedio de carga en los ltimos 1, 5, y 15 minutos.
Modificar

marca verde

Haga clic sobre esta casilla si desea cambiar el nombre del sistema y/o el nombre de dominio.
3.2.1.1. Propiedades del sistema

Esta seccin lo ayudar a cambiar el nombre del sistema y el nombre de dominio.

Cuando haya finalizado, haga clic sobre el botn Siguiente, luego sobre el botn Aplicar. Luego se lo traer
de vuelta a la pgina del grupo de propiedades del sistema, que muestra el nombre del sistema, el nombre de
dominio, la informacin del sistema y los datos de tiempo que lleva encendido ("uptime") el sistema.

24

Captulo 3. Configuracin bsica de MandrakeSecurity

3.3. Configuraci
on de tarjetas Ethernet

Esta pantalla lista las tarjetas interfaz de red (NIC) configuradas actualmente en su mquina. Le permitir
seleccionar una tarjeta en particular y volver a configurarla, o aadir otra tarjeta.

Zona Direcci
on IP M
ascara de sub-red Activa Proto. de arranque
eth0 wan
s

dhcp
editar quitar admin
eth1 lan
10.0.0.1
255.255.255.0
s

est
atica
editar quitar admin

Cada lnea se corresponde a una NIC fsica en su computadora:

para volver a configurarla, haga clic sobre el icono de texto a la izquierda del cesto de residuos. Tambin
se le permitir seleccionar si desea (o no) activarla al arranque en la Pgina de configuracin de la interfaz
Ethernet;

para permitir que la red asociada a esta interfaz se conecte a la interfaz web, haga clic sobre Admin (vea
"Interfaz de administracin" ms abajo);

para quitarla, haga clic sobre el cesto de residuos.

Luego viene la Interfaz de administracin, que indica la interfaz a travs de la cual se permiten las conexiones administrativas. Esto significa que su cortafuegos tendr que ser administrado desde una computadora
conectada a la sub-red que est asociada con la tarjeta mencionada antes. Desde la misma puede tomar dos
acciones:

- Detectar las NICs corrientes: al hacer clic sobre ese icono se lanzar un proceso de deteccin
automtica de las NICs. Debe usarlo si instal con anterioridad una NIC nueva en su computadora. Nota: luego que haga clic, puede tomar algo de tiempo para que aparezca la pantalla siguiente mientras la
computadora est detectando las tarjetas nuevas.

- Aadir manualmente una NIC: si la accin anterior fallase, puede configurar manualmente su
tarjeta haciendo un clic sobre ese icono.

25

Captulo 3. Configuracin bsica de MandrakeSecurity

3.3.1. Detecci
on de las interfaces Ethernet

Esta pantalla muestra la NIC (o NICs) que recin han sido detectadas automticamente en su mquina. Si la
tarjeta que desea configurar no aparece aqu, regrese a la pgina anterior y haga clic sobre el botn Aadir una
NIC manualmente.

Controlador
Mac
Direcci
on IP M
ascara de sub-red Activa Al arrancar
Eth0 ne2k-pci 00:40:05:E2:55:F6 192.168.1.160
255.255.255.0
s

Cada lnea corresponde a una NIC fsica en su computadora. Para seleccionarla y configurarla como su interfaz
de acceso a la red local, haga clic sobre el icono Editar (junto a la columna Protocolo y a la izquierda del cesto
de residuos) y complete los campos en blanco.

3.3.2. Configuraci
on de la interfaz Ethernet para su(s) red(es) local(es)

26

Captulo 3. Configuracin bsica de MandrakeSecurity


En esta seccin debe definir los parmetros de la tarjeta interfaz necesarios para satisfacer las necesidades
de su(s) red(es) local(es). Puede ser que algunos ya se hayan elegido durante la instalacin o una configuracin previa y/o completados con valores estndar. Realice las modificaciones necesarias para satisfacer sus
necesidades actuales.

Conectada a la Zona denominada lan


Debe elegir en qu tipo de red estar trabajando. Aqu tiene sus opciones:

lan, o sistemas en su(s) red(es) local(es). Estos sistemas deben protegerse de la Internet y de la DMZ y, en
algunos casos, de los pares. Elija esta zona para definir su red local;

dmz, que significa Zona DesMilitarizada. Elija esta zona si debe poder acceder a sus sistemas desde la
Internet y desde la red local;

wan - red de rea extensa. Puede ser pblica o privada y asegura la interconexin entre redes de computadoras fuera de su LAN (la Internet). Seleccione este tipo de zona para conectarse directamente al mundo
externo.

Direccin IP

192.168.1.1

Complete este campo si tiene una direccin IP esttica para esa interfaz. Esta es la direccin de su servidor: es
esencial ya que los sistemas cliente se referirn a la misma.
Mscara de sub-red (ej..: 255.0.0.0) 255.255.255.0

En este campo, ingrese el nombre de la mscara de sub-red relacionada a la red donde est conectada esta
interfaz.
Ahora, configure el protocolo de arranque a utilizar cuando se inicializa esta interfaz. Esto depende del protocolo que utiliza su ISP. Seleccione la casilla adecuada, es decir, una de las siguientes:

esttica. Esta es una direccin IP permanente asignada al servidor por su ISP;

dhcp. Esta es una direccin IP dinmica asignada por el ISP al arrancar. La mayora de los ISPs de cable y
DSL utilizan alguna forma de DHCP para asignar una IP a su sistema. Tambin, las estaciones de trabajo
deberan configurarse de esta manera para simplificar la administracin de la red;

bootp. Permite que una mquina Linux obtenga su informacin de red de un servidor a travs de la red.

Luego, puede decidir si desea, o no, que esta interfaz se active al arrancar.
Cliente DHCP (opcional)

dhcpd

Este campo le permite elegir el tipo de cliente DHCP que ser utilizado en su red. Puede seleccionar uno de
los siguientes:

dhcpcd - demonio cliente que obtiene una direccin IP y otra informacin de un servidor DHCP, configura automticamente la interfaz de red, e intenta renovar el perodo de "leasing" de acuerdo a RFC2131 o
RFC1541 (que se considera obsoleto);

pump - demonio cliente para BOOTP y DHCP. Permite a su mquina recuperar la informacin de configuracin de un servidor.

dhclient - con este, puede configurar una o ms interfaces de red que utilicen el protocolo DHCP o BOOTP;

dhcpxd - el objetivo principal del mismo es cumplir con la especificacin DHCP definida en RFC2131. Soporta un proceso por sesin y tambin puede manejar sesiones del tipo todas-en-un-proceso. Una de sus
caractersticas ms avanzadas reside en los scripts que se ejecutan cuando se necesitan, para poder ajustar
todo lo necesario para configurar las interfaces.
27

Captulo 3. Configuracin bsica de MandrakeSecurity


Finalmente, puede elegir completar el campo de nombre de host DHCP (opcional) con el valor apropiado.

3.4. Cambiando la contrase


na del administrador

Este formulario le permitir modificar la contrasea de la cuenta del administrador (admin). Es recomendable
que la cambie peridicamente.

Nombre de login

admin

Contrasea nueva

********

Contrasea nueva (otra vez)

********

Debe elegir una contrasea segura. Intente seleccionar alguna que incluya letras maysculas y minsculas y
caracteres especiales, como por ejemplo el signo de interrogacin (?). Cuando haya finalizado, haga clic sobre
el botn Cambiar

3.5. Registro del sistema sobre las m


aquinas locales/remotas

Los registros son una parte esencial de un sistema crtico con respecto a la seguridad como un cortafuegos.
El registro no solo le brinda informacin en tiempo real de lo que est sucediendo en el sistema, sino que
tambin lleva la pista de la historia de los sucesos en el mismo, es decir: cuando algo va mal en el sistema una colgadura o una intrusin - encontrar por qu ocurri y generalmente determinar una solucin.

28

Captulo 3. Configuracin bsica de MandrakeSecurity


Antes que nada, puede elegir activar (o no) el sistema de registro en la mquina local (el cortafuegos en
s mismo). Por supuesto, esto slo ser relevante si hay un monitor conectado directamente a la mquina
cortafuegos. Ser posible controlar:
Servidor Syslog (ej.: 10.1.1.10)

Puede elegir ingresar el nombre del servidor Syslog (ej.:


syslog.empresa.com) o la direccin IP. Si no conoce la direccin IP,
puede utilizar el comando ifconfig como root, o /sbin/ifconfig como
un usuario no privilegiado.

Luego ingrese la direccin de su servidor Syslog. Esta es una manera de asegurar mejor sus registros, evitando
almacenarlos directamente en su servidor y hacindolo en una mquina distinta.
Nivel para el registro de red

Info

Este parmetro controla la cantidad de informacin que se mostrar, de acuerdo al nivel que elija:

Info: muestra todos y cada uno de los mensajes del cortafuegos, desde los mensajes normales de operacin
hasta los crticos.

Notas: muestra los mensajes que, si bien no son problemticos para el sistema, no son usuales.

Advertencia: le informa que puede estar ocurriendo algo fuera de lo comn y que debera comenzar a
pensar en tomar accin.

Error: muestra los mensajes de error que pueden conducir a un mal funcionamiento del sistema.

Crticos: muestra mensajes que indican que su sistema est en peligro serio.

Alerta: le informa que debe tomar accin de inmediato.

Pnicos: muestra slo los mensajes crticos que por lo general llevan a la falla del sistema. En este punto, su
sistema no se podr utilizar. A menos que sepa exactamente lo que est haciendo, es altamente recomendable no elegir este nivel.

3.6. Configuraci
on de la hora

Antes que nada, el asistente le sugerir dos opciones para la configuracin interna de la hora.

Haga clic sobre el icono "Modificar"

relacionado con lo que Usted desea configurar:

Fecha y hora: si no tiene un servidor NTP, haga clic sobre el botn "Modificar" para configurar manualmente
la hora y fecha actuales en la mquina.

29

Captulo 3. Configuracin bsica de MandrakeSecurity

Huso horario y direccin del servidor NTP: haga clic sobre el botn "Modificar" bajo el campo Direccin
del servidor NTP (opcional) para indicar la ubicacin fsica del servidor y, eventualmente, configurar un
servidor de la hora, que ajustara automticamente la fecha y hora del sistema.

3.6.1. Configuraci
on de la fecha y la hora

Simplemente ingrese la fecha y hora corrientes en los campos respectivos:

Fecha (mm/dd/aa)

04/17/02

Hora 24-horas (hh:mm:ss)

17:07:58

Luego, aplique sus modificaciones haciendo clic sobre el botn "Cambiar".

3.6.2. Configuraci
on del huso horario y del servidor NTP

Debe elegir el huso horario de su ubicacin geogrfica e indicar la presencia eventual de un servidor NTP.

Huso horario

America/Buenos_Aires

Direccin del servidor NTP


(opcional)

ntp.mico.com

En la lista de husos horarios seleccione el huso horario y luego la ciudad ms cercana a donde se encuentre el
cortafuegos.
Eventualmente, puede ingresar el nombre de un servidor NTP (Network Time Protocol - Protocolo de hora de
red) que ajusta y verifica automticamente y peridicamente su el reloj del sistema. Si su compaa tiene su
propio servidor, utilice ese. De lo contrario, puede utilizar un servidor pblico de los que se listan en el sitio
30

Captulo 3. Configuracin bsica de MandrakeSecurity


web de servidores NTP secundarios (stratum 2) (http://www.eecis.udel.edu/~mills/ntp/clock2.htm).

31

Captulo 3. Configuracin bsica de MandrakeSecurity

32

Captulo 4. Configurando el acceso a la Internet


Esta seccin le permite configurar la(s) manera(s) en la(s) que su servidor acceder a la Internet. Le permite la
configuracin de las interfaces con los protocolos soportados por su versin de MandrakeSecurity . Tambin
puede definir todas las cuentas de su proveedor.

4.1. Estado del acceso a la Internet

Esta pgina introductoria a los asistentes de configuracin del acceso a la Internet resume la configuracin
corriente de acceso a la Internet y permite al administrador subir o bajar la conexin manualmente. Tambin
permite probar la conexin.

La primer parte resume todos los parmetros de acceso a la Internet para la configuracin corriente: tipo,
interfaz, informacin de la cuenta, etc.
Luego viene el estado de acceso: o bien "Arriba" o "Abajo" e informacin adicional acerca de la conexin
corriente. Lo siguen tres botones:

Iniciar: iniciar manualmente la conexin con la Internet con la configuracin corriente como se muestra
arriba.

Detener: Forzar la desconexin de la conexin con la Internet.

33

Captulo 4. Configurando el acceso a la Internet

Probar: actualizar el estado de acceso a la Internet que se muestra arriba.

Para realizar esta prueba, simplemente se intenta realizar un "ping" a una mquina externa. Si desea probar la
conexin con una mquina especfica, ingrese la IP de la misma aqu, en el campo siguiente:
Mquina de prueba remota

198.41.0.6

4.2. Configuraci
on del m
odem anal
ogico

Este formulario contiene todos los parmetros necesarios para configurar una conexin con la Internet por
medio de un mdem analgico estndar. Debe asegurarse que tiene todos los parmetros que le brind su ISP.

Primero puede haber algunos recordatorios acerca de la configuracin actual de la conexin con la Internet.
Nombre de conexin

Mi Gran conexin con la Internet

Complete este campo con cualquier nombre apropiado para la configuracin de manera tal que Usted pueda
recordar la conexin para la cual dicho nombre es relevante.
Luego puede intentar detectar automticamente el mdem conectado a su mquina, haciendo clic sobre el
icono:

34

(Detectar).

Captulo 4. Configurando el acceso a la Internet

Lista de mdems detectados

ttyS0

Esta lista contiene todos los mdems detectados en los puertos de su mquina (En este ejemplo, el primer
puerto serie). Elija el que desea utilizar para esta conexin.
Puerto del mdem

ttyS1 (COM 2)

Si no se pudo detectar su mdem, siempre puede seleccionar manualmente, en esta lista, el puerto al cual est
conectado.
Velocidad del mdem

57600

Simplemente elija la velocidad de transferencia mxima de su mdem (en bits/segundo).


Comando PPP especial
En caso que su conexin necesite pasarle opciones especiales al demonio pppd, puede ponerlas aqu. En la
mayora de los casos aqu no debera necesitar poner cosa alguna.
Dominio del proveedor

miproveedor.net

El nombre de dominio de su proveedor


Numero telefnico del proveedor 0123456587
El nmero telefnico para conexiones con el proveedor de Internet. Tambin ingrese los prefijos necesarios de
la conexin telefnica que est utilizando.
Nombre de login

pepe

Contrasea

******

Contrasea (confirmar)

******

Aqu ingrese con cuidado el nombre de conexin y contrasea que le provey su ISP.
Autenticacin

PAP

El mecanismo de autenticacin que utiliza su ISP. Por lo general es PAP.


DNS 1 del proveedor

123.231.123.122

DNS 2 del proveedor

123.231.123.123

Los Servidores de nombres de dominio de su ISP.


Cuando haya completado todos los campos, avance al paso siguiente. Podr revisar todos los parmetros y
luego confirmar sus elecciones. La conexin se configurar de inmediato.
Si desea quitar una cuenta de discado telefnico, haga clic sobre Cuentas de Internet en el men de la izquierda.

35

Captulo 4. Configurando el acceso a la Internet

4.2.1. Lista de m
odems anal
ogicos

Esta pgina muestra todos los mdems detectados en su mquina. Debe asegurarse que los mdems estn
alimentados y conectados correctamente antes de abrir esta pgina.

Lista de mdems detectados

ttyS0 (COM1)

En el men desplegable, simplemente elija el puerto al cual est conectado el mdem en cuestin, y avance al
paso siguiente.

4.3. Configure su acceso a la Internet por RDSI


4.3.1. Elija el tipo de tarjeta RDSI

Este primer paso del asistente de configuracin RDSI le brinda varias opciones:

Detectar una tarjeta interna: si selecciona este icono aparecer una lista de las tarjetas RDSI detectadas en su
mquina. Si tiene una tarjeta interna pruebe esto primero. De lo contrario, deber:

Seleccionar una tarjeta interna: si el paso anterior ha fallado, se mostrar una lista de las tarjetas RDSI
soportadas.

Configurar un mdem externo: seleccione este icono si tiene un mdem externo y no una tarjeta RDSI
interna.

36

Captulo 4. Configurando el acceso a la Internet

4.3.2. Elija la tarjeta RDSI

Aqu se le presenta la lista de tarjetas RDSI detectadas en su mquina.

Simplemente seleccione la tarjeta que desea utilizar para su conexin con la Internet y avance al paso siguiente.
Si su tarjeta no est en la lista, haga clic sobre "Configurar manualmente una tarjeta interna".

4.3.3. Elija el modelo de la tarjeta RDSI

Simplemente seleccione el nombre del modelo de su tarjeta en la lista de modelos sugeridos, y avance al paso
siguiente.

Si el modelo de su tarjeta no est en la lista, averige con qu modelo es compatible en la documentacin que
se le proporcion con la tarjeta.

37

Captulo 4. Configurando el acceso a la Internet

4.3.4. Elija el proveedor y el protocolo para el acceso RDSI

Aqu se le presenta una amplia lista de los proveedores que existen alrededor del mundo. Si el suyo no est
presente, necesitar configurarlo manualmente.

Primero debe indicar qu protocolo utilizar, esto depender de su ubicacin geogrfica:

Europa

Resto del mundo

Luego, necesita configurar su proveedor de alguna de las maneras siguientes:

Seleccione su proveedor: encuentre su proveedor en la lista, organizada por pas, ciudad y finalmente nombres de proveedores. Si el suyo est all, genial!, simplemente debe seleccionarlo y avanzar al paso siguiente.

Edite manualmente la informacin de su proveedor: si el nombre de su proveedor no aparece en el listado


de arriba, seleccione ese icono.

38

Captulo 4. Configurando el acceso a la Internet

4.3.5. Configuraci
on del acceso RDSI

Este formulario lista todos los parmetros necesarios para configurar una conexin con la Internet por RDSI.
Debe asegurarse que tiene todos los parmetros necesarios o debe pedirlos a su ISP.

Si su proveedor est en la lista, simplemente complete los campos vacos.


Su login RDSI

pepe

Su contrasea RDSI

******

Su contrasea RDSI (confirmar)

******

Aqu, ingrese con cuidado el nombre de login y contrasea provistos por su ISP.
Su nmero telefnico personal

01.40.41.42.43

Aqu se necesita el nmero telefnico que Usted utiliza para conectarse a la Internet por medio de RDSI.
Nombre del proveedor

Mi proveedor RDSI favorito

Nmero telefnico del proveedor 01.12.56.89.23


Una cadena de caracteres simple para identificar primero a su proveedor y luego al nmero telefnico que
Usted debe discar para conectarse al servicio RDSI de dicho proveedor.

39

Captulo 4. Configurando el acceso a la Internet

DNS 1 del proveedor

123.231.123.231

DNS 2 del proveedor

123.231.123.232

Los Servidores de nombres de dominio de su ISP.


Deteccin de tarjeta RDSI

ELSA Quickstep 1000 (PCI)

Esto indica el nombre de la tarjeta que se est configurando.


Modo de discado

Automtico/Manual

Seleccione cmo se conectar a la Internet:

Automtico: siempre que el servidor recibe un pedido de Internet compatible con las reglas de trfico saliente del cortafuegos, se realizar automticamente la conexin.

Manual: esta opcin necesitar la intervencin del administrador para conectar y desconectar manualmente
la conexin cuando sea necesario.

IRQ de la tarjeta RDSI

12

E/S de la tarjeta RDSI

0x300

Si no se pudo detectar su tarjeta, deber proporcionar esa informacin. De lo contrario, no realice cambios en
los campos.
Cuando se han completado, o dejado en blanco segn sea necesario, todos los campos, avance al paso siguiente. Podr revisar todos los parmetros y luego confirmar sus elecciones. Se configurar inmediatamente la
conexin.

40

Captulo 4. Configurando el acceso a la Internet

4.4. Configuraci
on de la conexi
on ADSL
4.4.1. Configuraci
on del tipo de protocolo ADSL

Aqu, seleccione el protocolo especfico que utiliza su proveedor de servicios de Internet (ISP).

Elija el protocolo apropiado haciendo clic sobre la casilla correspondiente. Si tiene dudas, debe consultar con
su ISP.

Protocolo de tnel punto a punto (PPTP)

Punto a punto sobre Ethernet (PPPoE)

Protocolo de configuracin dinmica del host (DHCP)

41

Captulo 4. Configurando el acceso a la Internet

4.4.2. Configurar una conexi


on DSL (ADSL)

Esta es la primer pantalla del asistente que lo guiar a travs del proceso de configurar una conexin DSL con
la Internet. Antes que nada, seleccione la tarjeta interfaz de red (NIC) para utilizar para este propsito.

En la lista de sugerencias, haga clic sobre el nombre de la interfaz que desea utilizar para la conexin Cable/LAN. Si su tarjeta especfica parece no estar, intente detectarla haciendo clic sobre el botn "Detectar".

4.4.3. A
nadir interfaz Ethernet

Esta pgina muestra las interfaces que se detectaron en su sistema cortafuegos.

Simplemente seleccione el nombre (ETHx) de la tarjeta adecuada.

42

Captulo 4. Configurando el acceso a la Internet

4.4.4. Configuraci
on de la interfaz Ethernet para su acceso a la Internet

Aqu se definen los parmetros de la tarjeta interfaz necesarios para configurar los parmetros de su acceso xDSL. La mayora de los parmetros ya habrn sido seleccionados o completados con valores estndar
automticamente: simplemente debe verificar que se corresponden con sus necesidades.

Direccin IP (ej.: 10.0.0.1)

10.0.0.1

Complete este campo si tiene una direccin IP esttica para esa interfaz. Debe asegurarse que es la que Usted
tiene asignada.
Mscara de sub-red (ej.: 255.0.0.0) 255.255.255.0
Complete este campo con la mscara de sub-red a la que est conectada esta interfaz. Debe asegurarse que es
la que Usted tiene asignada.
Pasarela predeterminada (ej.:
10.0.0.138)

10.0.0.250

Esta es la pasarela a travs de la cual pasarn sus pedidos para la Internet. Este parmetro es crucial para que
su mquina cortafuegos pueda acceder a la Internet.
Finalmente, puede decidir si esta interfaz se activar o no cada vez que arranque la mquina.

43

Captulo 4. Configurando el acceso a la Internet

4.4.5. Configuraci
on de la cuenta de Internet para su acceso DSL

Para que su proveedor lo autentique como un usuario, Usted necesita brindar informacin acerca de su cuenta.
Su ISP debera haberle proporcionado los parmetros necesarios.

Nombre de usuario

pepe

Contrasea

******

Contrasea (confirmar)

******

Ingrese con cuidado el nombre de login y contrasea que le proporcion su ISP. Por lo general, ambos distinguen entre maysculas y minsculas.
Nombre del proveedor

Mi proveedor favorito de ADSL

DNS 1 del proveedor

123.231.123.231

DNS 2 del proveedor

123.231.123.232

La primer cadena de caracteres simple identifica a su proveedor y las siguientes a los Servidores de Nombres
de Dominio (DNS) de su ISP.
Una vez que estn completos todos los campos, avance al paso siguiente. Podr revisar todos los parmetros
antes de confirmar sus elecciones. La conexin se configurar inmediatamente.

44

Captulo 4. Configurando el acceso a la Internet

4.5. Configuraci
on de la conexi
on por Cable/LAN
4.5.1. Configurar una conexi
on por Cable o LAN

Esta pantalla aparece cuando Usted ha configurado previamente ese tipo de conexin con la Internet. La
misma resume la configuracin corriente.

Haga clic sobre el botn "Cambiar" si desea utilizar otra NIC para ese acceso a la Internet.

Haga clic sobre el botn "Configurar" si desea volver a configurar la NIC seleccionada.

45

Captulo 4. Configurando el acceso a la Internet

4.5.2. Configurar una conexi


on por Cable/LAN

Esta pantalla es la primera del asistente que lo guiar a travs del proceso de configuracin de una conexin
a la Internet por medio de Cable/LAN. Bsicamente, ambos tipos de conexin son idnticos. Esta es la razn
por la cual se tratan juntas. Primero, seleccione la tarjeta interfaz de red (NIC) a utilizar para este propsito.

En la lista de sugerencias, seleccione el nombre de la interfaz que desea utilizar para la conexin por Cable/LAN.

4.5.3. Configuraci
on de al interfaz Ethernet para su acceso a la Internet por Cable/LAN

46

Captulo 4. Configurando el acceso a la Internet


Aqu definir los parmetros de la tarjeta interfaz necesarios para satisfacer las necesidades de su acceso
por Cable/LAN. La mayora de los parmetros ya habrn sido seleccionados y los campos completados con
valores estndar. Comience por validar los valores.

Direccin IP

10.0.0.1

Complete este campo si tiene una direccin IP esttica para esta interfaz. Debe asegurarse que es la que le ha
sido asignada ya que las direcciones IP conflictivas pueden resultar en repetidos problemas intermitentes de
acceso a la Internet.
Mscara de sub-red

255.255.255.0

Complete este campo con la red correspondiente a la que est conectada esta interfaz. Debe asegurarse que es
la que Usted tiene asignada.
Pasarela predeterminada

10.0.0.250

Esta es la pasarela a travs de la cual pasarn sus pedidos a la Internet. Este parmetro es crucial para permitir
que su mquina cortafuegos alcance la Internet.
Luego, debe indicar qu protocolo de arranque se debe utilizar cuando se inicializa esta interfaz. Esto depende
del protocolo que utilice su ISP. Seleccione uno de los siguientes:

esttico; si tiene un direccin IP especfica asignada para su servidor (la mayora de los casos para los servidores)

dhcp; si este protocolo configura automticamente su direccin

bootp; si este protocolo configura automticamente su direccin.

Finalmente, puede decidir si desea, o no, activar automticamente esta interfaz al arrancar.
Luego viene la configuracin de su mquina como un miembro de la Internet.
Nombre externo del sistema

www.mi_empresa.org

Nombre de dominio externo

mi_empresa.org

Complete esos campos con la identificacin externa de su mquina cortafuegos.


DNS externo 1

123.123.123.123

DNS externo 2

123.123.123.124

Las IP de esos DNS generalmente se corresponden con los Servidores de nombres de dominio de su ISP.

47

Captulo 4. Configurando el acceso a la Internet

4.5.4. Cable/LAN - Aplicando los cambios a la configuraci


on de Internet

Este es el ltimo paso para configurar el acceso a la Internet por Cable/LAN.

Revise todos los parmetros y haga clic sobre "Aplicar" para activar su modificacin.

48

Captulo 4. Configurando el acceso a la Internet

4.6. Configuraci
on de las cuentas del proveedor

Esta pantalla presenta la configuracin actual del acceso a la Internet. En caso que Usted posea varias cuentas
de proveedor tambin le permite cambiar de una cuenta a otra dentro del mismo tipo de acceso.

La primer parte de la pantalla le informa acerca del acceso a la Internet que est en uso actualmente: tipo,
interfaz, proveedor.
Luego viene la lista de cuentas asociadas al tipo corriente de conexin a la Internet.
DNS1
Tel
efonoProv
free.fr
123.456.78.1 01010101
proveedor.net 123.456.75.1 02313654

DNS2
Contrase~
na Login Aute
123.456.789.2 SecreTo
pepe PAP quitar
123.456.785.2 MuySecreTo popo PAP quitar

Cada cuenta se compone de ocho campos:

Dominio del proveedor: haga clic sobre el mismo si desea activar esta cuenta.

DNS1: el primer servidor DNS de este proveedor.

TelfonoProv: si aplica, dice el nmero telefnico que necesita discar el mdem para acceder al proveedor.

DNS2: el segundo servidor DNS de este proveedor.

Contrasea: la contrasea asociada con el login.

Login: el login (nombre de conexin) correspondiente con la cuenta de su proveedor.

Aute: si aplica, el protocolo de autenticacin utilizado para conectar con el proveedor.

quitar: haga clic sobre este vnculo si desea quitar definitivamente esta cuenta de proveedor.

49

Captulo 4. Configurando el acceso a la Internet

4.7. Restricci
on horaria

En caso que no tenga una conexin permanente, esta pgina le permitir definir sus esquemas de conexin
con la Internet. Para cada uno de los tres perodos de tiempo definidos, se le darn cinco opciones para su
conexin.

Conexin telefnica en horario de oficina: Defina los esquemas de conexin durante las horas de oficina
(8:00 a 18:00).

Conexin telefnica fuera del horario de oficina: Defina los esquemas de conexin fuera del horario de
oficina (18:00 a 8:00).

Conexin telefnica los fines de semana: Defina los esquemas de conexin durante los fines de semana
(sbado, domingo).

Para cada uno de estos perodos, elija una de las polticas siguientes:

Sin conexin: La conexin est inactiva durante ese perodo.

Tiempos de conexin cortos: Las conexiones se realizan por demanda, y el vnculo se corta cuando cesan los
pedidos. [slo relevante para tipos de vnculo por mdem analgico o RDSI]

Tiempos de conexin medianos: Las conexiones se realizan por demanda, y el vnculo se corta un poco
despus que han cesado los pedidos. [irrelevante para tipos de vnculo permanente]

Tiempos de conexin largos: Las conexiones se realizan por demanda y el vnculo se corta mucho despus
que han cesado los pedidos, de esta forma se minimizan las demoras promedio de conexin. [irrelevante
para los tipos de vnculo permanentes]

Conexin continua: El vnculo con la Internet se mantiene durante ese perodo.

Cuando haya pasado por los tres perodos de tiempo diferentes el paso siguiente le mostrar las elecciones
que realiz recin. Debe revisarlas y avanzar al paso siguiente. Esto lo llevar de vuelta a la pgina principal
de filtrado del WebProxy.

50

Captulo 5. Servicios: DHCP, Proxy, DNS, y m


as
Esta seccin controla el uso de otros servicios, principalmente los servicios DHCP, DNS y de proxy.

5.1. Estado de los servicios que se brindan

Esta pgina describe el estado de los servicios que su mquina brinda.

Puede cambiarlos haciendo clic sobre los diferentes servicios, como por ejemplo el servidor DHCP, el proxy
web, el DNS de cacheo y la Deteccin de intrusiones, que se encuentran a la izquierda de la ventana de
MandrakeSecurity.

5.2. Servidor DHCP

51

Captulo 5. Servicios: DHCP, Proxy, DNS, y ms


Para permitir la configuracin dinmica de las mquinas nuevas que se conectan a su LAN (Red de rea
local), necesitar configurar un servidor DHCP en su cortafuegos. Cuando dichas mquinas se configuran
para utilizar un servidor DHCP al arrancar, se configurarn automticamente los parmetros de red necesarios
para integrar a las mismas a la LAN. Entonces, slo necesita configurar a los clientes para usar un servidor
DHCP. Esta caracterstica est disponible en la mayora de los sistemas operativos modernos.

Simplemente elija si desea (o no) utilizar un servidor DHCP seleccionando S o No y haciendo clic sobre el
botn Siguiente.

5.2.1. Configuraci
on del servidor DHCP

Ahora debe informar a los scripts de conexin para que su ISP pueda autenticarlo. Su ISP debe haberle proporcionado toda la informacin necesaria.

Interfaz en la que debera


escuchar DHCP

eth0

Este campo contiene el nombre de la interfaz conectada a la LAN. Slo aquellas computadoras que comparten
la misma sub-red con esa direccin obtendrn una respuesta del servidor DHCP.
Nombre de dominio del cliente
(ej.: empresa.com)

empresa.com

Simplemente ingrese el nombre de dominio de su mquina en este campo.


IP del servidor WINS

Si Usted alberga un servidor de nombres de dominio Windows en su


LAN, ingrese la IP del mismo en este campo. As, el servidor DHCP le
dir a las estaciones de trabajo Windows de su red, cuando estas
arranquen, cul es la IP del servidor WINS, en vez de tener que
configurar cada estacin de trabajo Windows por separado.

Comienzo del rango de IP (ej.: 24) 65


Fin del rango de IP (ej.: 75)

52

254

Captulo 5. Servicios: DHCP, Proxy, DNS, y ms


Esos campos contienen el rango de direcciones IP permitido para las mquinas cliente DHCP. El ejemplo
que se da es para una sub-red de clase C. Debe asegurarse que no incluye la primer IP (0 en ese caso) ni la
ltima (255) en el rango ya que las mismas estn reservadas. Note que, por lo general, se reservan las primeras
direcciones para las mquinas con IP esttica, mientras que las ltimas las utilizan los servidores DHCP.
Lapso de tiempo predeterminado 21600
(21600 = 6hs)
Lapso de tiempo mximo (43200 = 43200
12hs)
La asignacin de una IP a una mquina siempre est limitada en el tiempo. Cuando el cliente no configura el
perodo de "leasing" necesario, el servidor intervendr y volver a asignar una IP a cada mquina al final de
cada "Lapso de tiempo predeterminado". Sin embargo, se honrar un pedido de perodo de "leasing" inferior al
"Lapso de tiempo mximo". En caso contrario, se volver a asignar una IP automticamente luego del "Lapso
de tiempo mximo".

5.2.2. Servidor DHCP - Confirmando sus cambios

En esta etapa, la Pgina de Confirmacin muestra los datos que se aplicarn al cortafuegos.

Si hace clic sobre el botn Aplicar, se guardarn todos sus cambios, reemplazando a los predeterminados o a
los anteriores. Si desea cambiar los parmetros haga clic sobre el botn Anterior, cambie los parmetros, haga
clic sobre el botn Siguiente, y aplique sus cambios.

53

Captulo 5. Servicios: DHCP, Proxy, DNS, y ms

5.3. Servidor proxy Squid

Para poder recordar los pedidos HTTP y FTP hechos desde dentro de su LAN hacia la Internet, necesitar
configurar un servidor proxy en su cortafuegos. Esto permite que una pgina, que piden dos usuarios diferentes, se obtenga de la Internet slo una vez, acelerando dramticamente el acceso a esta pgina a la vez que
se ahorra el preciado ancho de banda.

MandrakeSecurity ha elegido al servidor proxy Squid. Este acta como un agente, aceptando pedidos de los
clientes (por ejemplo, los navegadores web) y pasando dichos pedidos al servidor Internet apropiado. Luego
almacena una copia de los datos devueltos en un espacio reservado (cach) en disco.
Elija entre cuatro opciones antes de avanzar al paso siguiente:

desactivar el servidor proxy: si elije no utilizar el proxy, los pedidos de sus usuarios se reenviarn directamente al exterior;

activar el proxy transparente: activa el proxy y lo configura para actuar como un proxy transparente, es
decir: los usuarios no debern configurar sus clientes para permitirles utilizar el proxy ya que el proxy
intercepta y maneja automticamente todos los pedidos.

activar el proxy manual: igual que el anterior, pero los navegadores web cliente deben ser configurados
explcitamente para utilizar el servidor proxy instalado en su servidor MandrakeSecurity;

activar el proxy manual con autenticacin al nivel de usuario: igual que el anterior. ADVERTENCIA: debe
crear cuentas en la mquina cortafuegos Linux para los usuarios que estn autorizados a conectarse a la
Internet.

54

Captulo 5. Servicios: DHCP, Proxy, DNS, y ms

5.3.1. Configuraci
on principal del proxy

Aqu se configurarn los parmetros del proxy. Luego de decidir sobre algunos parmetros comunes, tiene la
opcin de activar (o no) el filtrado de web.

Modo de Squid:

manual

Este campo est definido por el Modo del servidor Proxy que eligi previamente entre "deshabilitado", "transparente", "manual" o "manual con autenticacin". En nuestro ejemplo, elegimos "manual".
Puerto de Squid (recomendamos
3328)

3328

Este es el puerto en la mquina cortafuegos en el cual Squid escuchar los pedidos. No es necesario realizar
cambio alguno aqu a menos que este puerto sea utilizado por otro servicio.
Tamao del cach de Squid (en
MB)

100

Este campo le permite controlar la cantidad de datos en el espacio reservado que Squid puede almacenar y
manejar. Para que su cach sea eficiente, debera ajustar el espacio del mismo segn la cantidad de usuarios:
para ms usuarios, se necesita ms espacio. El espacio puede variar entre 10 MB y 10 GB o ms.
Seleccione el modo de
autenticacin

Pam

Este campo slo se mostrar si Usted seleccion el modo "manual con autenticacin". Le permite elegir entre
PAM (Pluggable Authentication Modules - Mdulos de autenticacin "enchufables"), un mecanismo flexible
para autenticar usuarios (la accin predeterminada en MandrakeSecurity); LDAP (Lightweight Directory Access Protocol - Protocolo "liviano" de acceso a directorios) que permite el acceso a servicios de directorio en lnea; Samba, que lo conectar a su grupo de trabajo Samba, por ejemplo EMPRESA si Usted utiliza tal servidor;
y finalmente NIS (Network Information Service - Sistema de informacin de red), que facilita la comunicacin
de informacin crtica a todas las mquinas a travs de una red.
Correo electrnico administrativo root@empresa.com
de Squid
Ingrese el correo electrnico del administrador en este campo (root@empresa.com, en nuestro ejemplo) para
que sus usuarios sepan a quin contactar en caso que ocurra un problema para comentarle los bugs/problemas
(si es que hay alguno).
55

Captulo 5. Servicios: DHCP, Proxy, DNS, y ms


Una vez que regresa a la pgina principal del servidor proxy Squid, puede activar el filtrado web. Esta caracterstica le permitir negar o restringir el acceso a ciertas pginas en la Internet, dependiendo de la URL de las
mismas. Es til bloquear el acceso a los carteles de promociones o el contenido adulto.
Puede filtrar por URL o por contenido. Seleccione el icono de texto para cualquiera de ellos. Luego, puede ver
las reglas de filtrado para las Redes autorizadas, Restriccin de tiempo, Publicidad a quitar, URL de destino
prohibidas, IP privilegiadas, IP fuente prohibidas, o realizar una copia de respaldo/restauracin de sus reglas.
5.3.1.1. Opciones LDAP

Para poder utilizar LDAP, necesita configurar parmetros bsicos tales como los que siguen.

ou (ej.: personas)

Primero, configure el atributo objeto de la categora necesaria, por


ejemplo "personas" o "departamento".

dc (ej.: mdk)

Luego, configure la variable objeto dc con su nombre de dominio, por


ejemplo "mandrake". La otra variable objeto dc debera configurarse
con su pas, por ejemplo "ar" para Argentina.

IP del servidor LDAP

Finalmente, ingrese la IP del servidor LDAP (ej.: 192.168.2.78) o el


nombre del mismo (ej.: ldap.mesd.k12.or.us).

5.3.1.2. Opciones de Samba

Esta pgina le permite configurar el nombre de su grupo de trabajo Samba.

Grupo de trabajo Samba (ej.:


MANDRAKESOFT)

56

Simplemente ingrese el nombre de su grupo de trabajo Samba en el


campo en blanco.

Captulo 5. Servicios: DHCP, Proxy, DNS, y ms


5.3.1.3. Opciones NIS

La pgina de autenticacin NIS le permite configurar dos parmetros esenciales: el dominio NIS y la lista NIS.

Dominio NIS (ej.:


yp.mandrakesoft.com)

En este campo ingrese su nombre de dominio NIS en el formato


siguiente: yp.sudominio.com, es decir "yp" por Pginas Amarillas,
seguido de su nombre de dominio.

Lista NIS (usualmente


yp_lista.pornombre)

Igual principio que para la lista NIS: comience por "yp" seguido de la
raya baja ("_"), luego el nombre de la lista en el formato "lista.nombre".

5.3.2. URL a filtrar por el WebProxy

Ha activado el Guardin Proxy y esta pgina le permitir configurarlo. Esta es la primer pantalla del asistente.
La misma realizar sugerencias para configurar los distintos aspectos del filtrado.

Primero debe marcar la seccin a configurar y avanzar al paso siguiente:

Red autorizada: ingrese las redes/mscaras que podrn utilizar los servicios del proxy.

57

Captulo 5. Servicios: DHCP, Proxy, DNS, y ms

Restriccin horaria: permite definir el horario de conexin, es decir: cuando pueden (o no) conectar las
personas.

Publicidad a quitar: ingrese las URL o dominios completos de los sitios de publicidad. Las imgenes que
provienen de dichos sitios no se reenviarn a los clientes.

URL de destino prohibidas: ingrese las URL o dominios completos para los cuales se debera bloquear todo
acceso.

IP privilegiadas: ingrese las IP de las mquinas privilegiadas en su red local. Las mismas no tendrn restriccin alguna de las impuestas por el filtro a las otras mquinas.

IP fuente prohibida: designa a aquellas mquinas que no tienen autorizacin alguna para utilizar el proxy.

Copia de respaldo/Restauracin: le permite hacer una copia de sus reglas del proxy as como tambin
restaurarlas.

Siempre que haya finalizado de configurar alguna de las secciones precedentes, se lo traer de vuelta a esta
pgina.
5.3.2.1. Red/M
ascara fuente autorizada

Este formulario le permitir especificar qu sub-redes pueden utilizar los servicios del proxy. Si se deben
especificar distintas clases de mquina en su red (una para las personas que pueden acceder a la web, la otra
para las personas que no pueden), tendr que crear una sub-red para las mquinas autorizadas y asignar las
IP de acuerdo al estado de autorizacin particular que se ha garantizado a la computadora.

Red/Mscara autorizada

192.168.1.0/25

En este campo, ingrese la direccin IP/Mscara de red de la sub-red (el ejemplo mostrado designa el rango
de IP desde 192.168.1.0 a 192.168.1.127 - donde 0 es su direccin de red y 127 su direccin de difusin). Luego
58

Captulo 5. Servicios: DHCP, Proxy, DNS, y ms

haga clic sobre el botn Aadir:

Aparecer la direccin en la lista en la parte inferior de la pgina.

Si desea quitar una IP de la lista, simplemente debe seleccionarla y hacer clic sobre el botn Quitar:

Cuando haga pasado por las listas, avance al paso siguiente. Esto lo llevar de vuelta a la pgina principal de
filtrado del WebProxy.

5.3.2.2. Restricci
on horaria

Este formulario le permite definir los perodos horarios dentro de los cuales se permitir el acceso al proxy.
Note que esto no afecta a las mquinas privilegiadas de su red local. Fuera de estos perodos horarios, las
mquinas restringidas no podrn navegar por la web.

Primero necesita elegir si habilitar o deshabilitar esta caracterstica. Si la habilita tendr que definir los perodos
horarios en cuestin: hay dos perodos por da hbil.
Dom AM

09:00-13:00

Debe asegurarse de respetar estrictamente el formato como se ilustra: HH:MM-HH:MM. Modifique todos los
perodos segn su conveniencia.
Cuando haya finalizado con todos los perodos, avance al paso siguiente. Se le mostrar las elecciones que
hizo. Debe revisarlas y avanzar al otro paso. Esto lo llevar de vuelta a la pgina principal de filtrado del
WebProxy.

59

Captulo 5. Servicios: DHCP, Proxy, DNS, y ms


5.3.2.3. Dominios/URL con publicidad

Cmo nos podemos deshacer de esas propagandas aburridas en nuestros sitios web favoritos? Examinemos
dos ejemplos: freshmeat.net y yahoo.com.

En el sitio web de freshmeat.net haga clic derecho sobre la imagen de publicidad y luego sobre "Copiar ubicacin de imagen" en el men emergente (nota: la opcin de su navegador puede llamarse de otra manera...).
Luego vaya a la seccin Nuevo dominio de publicidad prohibido, haga clic sobre el botn del medio del ratn
(o sobre ambos botones simultneamente si Usted posee un ratn de dos botones). Borre la ltima parte de la
URL y obtendr ads.freshmeat.net. Ahora, aada este dominio a la lista.
Nuevo dominio de publicidad
prohibido

ads.freshmeat.net

En el sitio web de yahoo, haga clic derecho sobre la imagen de publicidad y luego copie la ubicacin de la imagen como se indic antes. Luego vaya a la seccin Nueva URL de publicidad prohibida
y haga clic sobre el botn del medio del ratn (o sobre ambos botones simultneamente si Usted posee un ratn de dos botones) para pegar la informacin. Borre la ltima parte de la URL y obtendr
us.a1.yimg.com/us.yimg.com/a/pr/promo/anchor. Ahora aada esta URL a la lista. Si refresca la pgina
de su navegador varias veces y copia la ubicacin de la imagen, obtendr varias URL distintas:
us.a1.yimg.com/us.yimg.com/a/ya/promo/anchor
us.a1.yimg.com/us.yimg.com/a/an/promo/anchor
us.a1.yimg.com/us.yimg.com/a/ya/yahoopager/messenger
us.a1.yimg.com/us.yimg.com/a/ya/yahoo_auctions

60

Captulo 5. Servicios: DHCP, Proxy, DNS, y ms


y as sucesivamente...
Nueva URL prohibida

us.a1.yimg.com/us.yimg.com/a/an/anchor

La publicidad correspondiente a esta URL en particular no se mostrar.


Luego aparecern las listas para las dos categoras. Seleccione cualquier elemento de esas listas y qutelo
haciendo un clic sobre el botn "Quitar":

Cuando haga pasado por las listas, avance al paso siguiente. Esto lo llevar de vuelta a la pgina principal de
filtrado del WebProxy.

5.3.2.4. Sitios prohibidos

Este formulario le ofrece tres formas de filtrar las pginas vistas desde la red local. Estos tres tipos de filtrado
dependen de la URL de dichas pginas.

Palabra clave nueva

microsoft
61

Captulo 5. Servicios: DHCP, Proxy, DNS, y ms


Todas las URL que contengan esta palabra se bloquearn. Haga clic en Aadir esta palabra clave a la lista para
hacerlo as.
Nuevo dominio prohibido

msn.com

Todas las pginas que dependan de un servidor cuyo nombre termine en este dominio se bloquearn. En
nuestro ejemplo: "http://eshop.msn.com/category.asp?catId=212" no se mostrar. Haga clic en Aadir este
dominio a la lista para hacerlo as.
Nueva URL prohibida

www.XXX.com/index_ns.html

Esta URL especfica no se mostrar. En nuestro ejemplo:


http://www.XXX.com/ad.html

no se descartar. Haga clic sobre Aadir esta URL a la lista para hacerlo as.
Luego se mostrarn las listas para las tres categoras. Puede seleccionar un elemento en esas listas y quitarlo
si lo selecciona y hace clic sobre el botn Quitar:

Cuando haga pasado por las listas, avance al paso siguiente. Esto lo llevar de vuelta a la pgina principal de
filtrado del WebProxy.

5.3.2.5. IP privilegiadas

Este formulario le permitir aadir o quitar IP de las mquinas privilegiadas de su red local. Dichas mquinas
estarn libres de cualquier restriccin impuesta por el filtro a las dems mquinas.

62

Captulo 5. Servicios: DHCP, Proxy, DNS, y ms

Ingrese una direccin IP


privilegiada nueva

192.168.1.111

Ingrese la direccin IP completa de la mquina privilegiada. Luego haga clic sobre el botn Aadir:
La IP aparecer en la lista en la parte inferior de la pgina.

Para quitar los privilegios de una IP de la lista, simplemente debe seleccionarla y hacer clic sobre el botn
Quitar:

Cuando haga pasado por las listas, avance al paso siguiente. Esto lo llevar de vuelta a la pgina principal de
filtrado del WebProxy.

5.3.2.6. IP prohibidas

Este formulario le permitir aadir o quitar las IP de aquellas mquinas que no estn autorizadas a utilizar el
proxy en absoluto. Esto significa que si, desde la red local, no hay otra pasarela a la Internet, los usuarios de
estas mquinas no podrn navegar por la web.

Ingrese una nueva direccin IP


prohibida

192.168.1.110

Ingrese la direccin IP completa del host prohibido. Luego haga clic sobre el botn Aadir:
la IP en la lista en la parte inferior de la pgina.

. Aparecer

63

Captulo 5. Servicios: DHCP, Proxy, DNS, y ms

Si desea quitar una IP de la lista, simplemente debe seleccionarla y hacer clic sobre el botn Quitar:

Cuando haga pasado por las listas, avance al paso siguiente. Esto lo llevar de vuelta a la pgina principal de
filtrado del WebProxy.

5.3.2.7. Realizando copias de respaldo y restaurando reglas del proxy

Realizar una copia de respaldo de sus reglas del proxy es una excelente idea. Tambin es muy conveniente
poder restaurarlas. Siga estos pasos simples para hacerlo.

Copia de respaldo: para crear una copia de respaldo de sus reglas del proxy, simplemente haga clic sobre
el botn gris "Copia de Respaldo". Se mostrar una pgina nueva: haga clic mientras mantiene la tecla Shift
(Cambio) presionada sobre el vnculo Copia de respaldo del WebProxy (o haga clic derecho y elija Guardar
vnculo como) y se guardar el archivo WebProxyRulesBackup.tar.bz2 en su disco rgido.

Restaurar: para poder restaurar sus reglas del proxy, haga clic sobre el botn "Examinar" para ubicar los
archivos adecuados (por ejemplo: WebProxyRulesBackup.tar.bz2). Luego, haga clic sobre el botn "Subir" y,
en la pgina siguiente, sobre el botn "Aplicar".

64

Captulo 5. Servicios: DHCP, Proxy, DNS, y ms


5.3.2.8. Hacer copia de respaldo de las reglas

Su operacin de copia de respaldo se complet satisfactoriamente. Ahora, siga las instrucciones debajo para
guardar su archivo de copia de respaldo de las reglas del proxy.

Simplemente haga clic mientras mantiene la tecla Cambio (Shift) apretada sobre el vnculo Copia de respaldo
del WebProxy (o haga clic derecho y elija Guardar vnculo como) y se guardar el archivo WebProxyRulesBackup.tar.bz2 en su disco rgido. Luego, haga clic sobre el botn "Siguiente".
Sin embargo, si desea terminar esta operacin, haga clic sobre el botn "Cancelar": se lo llevar de vuelta a la
pgina principal de MandrakeSecurity.

5.4. DNS de cacheo

Este asistente lo ayudar a configurar el servidor DNS.

DNS es el acrnimo para Domain Name System (Sistema de Nombres de Dominio). El mismo traduce nombres
de mquina legibles para las personas en direcciones IP legibles para las mquinas y vice-versa. Este asistente
de configuracin brindar un servicio local de DNS para las computadoras conectadas a su red local y todos
los pedidos no locales se reenviarn a un servidor DNS externo.
Para activar este servicio, por favor marque la casilla Habilitar y haga clic sobre el botn
Al hacer clic sobre

volver a la pgina predeterminada (de inicio) cancelando este asistente.

65

Captulo 5. Servicios: DHCP, Proxy, DNS, y ms

5.4.1. Etapa de configuraci


on de los DNS de reenvo

Aqu puede especificar los servidores DNS utilizados para reenviar los pedidos.

Servidor DNS

activo

DNS de reenvo primario

direccinIP_del_DNS_primario_de_su_ISP

DNS de reenvo secundario

direccinIP_del_DNS_secundario_de_su_ISP

Debe ingresar la direccin IP del servidor DNS primario y, opcionalmente, secundario en los campos correspondientes. Por lo general, Usted ingresar aqu las direcciones IP de los DNS primario y secundario de su
ISP, pero puede ser que est utilizando otro servidor DNS para reenviar los pedidos.
Una vez que ha ingresado las direcciones IP de sus servidores DNS de reenvo, haga clic sobre el botn
.
Al hacer clic sobre

se lo llevar de vuelta al paso anterior de este asistente.

Al hacer clic sobre

volver a la pgina predeterminada (de inicio) cancelando este asistente.

5.5. Sistema de detecci


on de intrusiones

Esta pgina le permite seleccionar y activar un Sistema de deteccin de intrusiones (IDS) en su servidor. Los
IDS son aplicaciones de filtrado basadas en la firma de los paquetes que se utilizan para generar alarmas
cuando se producen actividades de red fuera de lo comn.

66

Captulo 5. Servicios: DHCP, Proxy, DNS, y ms

Prelude IDS

Habilitar/Deshabilitar

Snort IDS

Habilitar/Deshabilitar

Prelude IDS

Prelude es un IDS hbrido que combina "deteccin de intrusin en la red" y "deteccin de intrusin en el host".

Snort IDS

Snort es un IDS de red de cdigo abierto.

5.6. Activaci
on de los servicios

Esta pgina lista los servicios presentes en su mquina. Se le dar la oportunidad de habilitarlos o deshabilitarlos.

67

Captulo 5. Servicios: DHCP, Proxy, DNS, y ms

Status
[...]
Gpm Running reload restart stop start Details
Httpd-naat Running reload restart stop start Details
Squid Running reload restart stop start Details
[...]

La primer columna de la tabla lista el nombre del servicio y el estado actual del mismo:

Running (Ejecutando): El servicio est instalado y aceptando conexiones.

Stopped (Detenido): El servicio est instalado en el cortafuegos, pero en este momento est deshabilitado.

Unknnown (Desconocido): Por algn motivo, la interfaz no se pudo determinar el estado de ese servicio.

Detalles--->: Haga clic sobre el botn "Detalles" al final de la fila para obtener ms informacin.

Luego se pueden modificar los parmetros de estos servicios:

recargar: permite volver a cargar la configuracin de ese servicio sin interrumpirlo. Para utilizar justo cuando se ha modificado un parmetro de dicho servicio.

reiniciar: detiene y vuelve a iniciar el servicio.

detener: el servicio negar las conexiones subsiguientes y terminar las corrientes.

iniciar: el servicio aceptar las conexiones subsiguientes.

Detalles: hace aparecer otra pgina con ms informacin acerca de ese servicio en particular.

68

Captulo 6. Configurando el comportamiento propiamente dicho del


cortafuegos
En este captulo pasaremos por todas las pginas de configuracin bajo la seccin Reglas del cortafuegos de
la interfaz. Es aqu donde se permite o niega el trfico entre las diferentes zonas y computadoras con las que
trata el cortafuegos.

6.1. Control principal del cortafuegos

Esta seccin de la interfaz permite controlar todo el trfico que entra y sale de la mquina cortafuegos. En
particular, permite definir los grupos diferentes de computadoras (zonas) con las que tratar su cortafuegos,
y el trfico permitido entre dichas zonas.

En esta pantalla introductoria puede encontrar los comandos de control principales para todos esos servicios
de ruteo y filtrado. Hay cuatro acciones que se pueden llevar a cabo en todo el cortafuegos:

start (iniciar): inicia el cortafuegos y todos los servicios asociados definidos en esta seccin;

stop (detener): detiene el cortafuegos. Se cerrarn todos los canales de comunicaciones, aislando por completo a la mquina del exterior. Eso puede ser til cuando se da cuenta que la mquina est comprometida,
pero la interfaz de administracin ya no estar disponible sino que deber conectarse fsicamente desde la
consola del cortafuegos;

restart (reiniciar): detiene el cortafuegos (si es que est corriendo) y luego lo vuelve a iniciar;

69

Captulo 6. Configurando el comportamiento propiamente dicho del cortafuegos

clear (borrar): borra por completo la configuraci


on que realiz
o el
administrador en toda la secci
on Reglas del cortafuegos. Utilcelo con cuidado! Luego vuelve a instalar y activar la configuraci
on
predeterminada (de f
abrica). Utilice start o restart para volver a
la configuraci
on personalizada.

Tenga bien presentes las implicancias cuando utiliza las acciones "stop" o "clear". Cuando haya elegido la
accin deseada, haga clic sobre el botn "Siguiente" para confirmarla.

6.2. Definici
on de las zonas

Esta sub-seccin permite definir con precisin cada uno de los grupos de computadoras (zonas) con las que
tendr que tratar el cortafuegos. La pantalla introductoria resume la configuracin corriente y permite administrar los tres componentes del proceso de definicin de zonas.

70

Captulo 6. Configurando el comportamiento propiamente dicho del cortafuegos

No olvide hacer clic sobre el bot


on Aplicarcuando haya terminado
de configurar las zonas en esta sub-secci
on.

Primero debe definir los nombres de las zonas. Piense con cuidado las zonas que pueden ser necesarias con su
configuracin de red corriente. Predeterminadamente se brindan tres nombres, como puede ver en la primer
tabla que resume los nombres definidos. Estos valores predeterminados permiten una configuracin simple
pero segura de su red.

LAN: Red de rea local. La red interna donde se conectan las mquinas cliente internas. Por lo general, no
se permiten las conexiones desde el exterior a mquinas dentro de la red LAN.

DMZ: Zona DesMilitarizada. Por lo general, est reservada para servidores Internet. Esta zona contendr
computadoras dedicadas a ofrecer servicios a la Internet (la zona WAN que se define debajo). Por lo tanto
se permiten las conexiones a computadoras en esta zona.

WAN: Red de rea extensa. Por lo general, esto designa a la Internet. O, ms generalmente, a una red
conectada a la Internet.
correspondiente para modificar los

Para cada una de las zonas definidas, haga clic sobre el icono
nombres asociados a dicha zona o sobre

para quitar definitivamente dicha zona.

Si desea definir una zona nueva, haga clic sobre el icono "Aadir Zona":

Hay una zona especial, fw, que no se lista aqu pero que existe
siempre. La misma se utiliza para designar la zona del cortafuegos
(firewall): una zona que est
a compuesta por una u
nica m
aquina,
el servidor cortafuegos en s mismo.

Luego es necesario informar al sistema acerca de cada interfaz de red configurada en su cortafuegos, y la zona
asociada a las mismas.
Aqu la tabla lista las interfaces y las zonas asociadas. Si el nombre de la zona es "-" eso significa que hay varias
zonas asociadas a esta interfaz. Esas zonas "host" especiales se definen debajo, en la tercer parte de la pgina.
Para cada una de las interfaces definidas, haga clic sobre el icono
zona o las opciones asociadas con dicha interfaz o sobre

correspondiente para modificar la

para quitar definitivamente dicha interfaz.

Si desea aadir una interfaz nueva, haga clic sobre el icono "Aadir interfaz":

Finalmente, puede definir en la ltima parte de la pgina las zonas "host" posibles. Dichas zonas estn formadas por un grupo de computadoras que comparten una nica interfaz Ethernet del cortafuegos con otras
computadoras. Por alguna razn Usted desea separar la manera en que se trata a esas mquinas con respecto
a las otras mquinas conectadas a la misma interfaz. Las mquinas que posee una zona "host" se identifican
por su mscara de sub-red.
Por ejemplo, esto puede ser til si su servidor Internet est conectado fsicamente a su red LAN. Simplemente
debe asociar la zona DMZ a una zona "host" compuesta de una nica mquina: el servidor Internet.
Para cada una de las zonas "host" definidas, haga clic sobre el icono
la configuracin de la misma o sobre

correspondiente para modificar

para quitarla definitivamente.

Si desea aadir una zona "host" nueva, haga clic sobre el icono "Aadir host":

.
71

Captulo 6. Configurando el comportamiento propiamente dicho del cortafuegos

6.2.1. Editando la identificaci


on de una zona

Este formulario le permite aadir/modificar los nombres que identifican a las zonas. Hay tres cadenas de
caracteres que identifican a una nica zona, que se usan dependiendo del lugar donde se muestren.

ID de zona (nico):

Este nmero nico (ID) ser utilizado en todo lugar donde sea
necesario identificar unvocamente a la zona. Se recomienda no
modificar el valor predeterminado sugerido.

Zona:

Nombre corto para la zona. El nombre debera tener 5 caracteres, o


menos, de longitud y consistir de letras minsculas o nmeros. Debe
comenzar con una letra. Adems, estn reservados para uso del sistema
los nombres asignados al cortafuegos y "multi".

Mostrar nombre de zona:

El nombre de la zona como se muestra en los registros.

Comentarios:

Una cadena de caracteres para identificar con ms precisin el rol de


esa zona, a los propsitos del mantenimiento.

Advertencia 1: No se permiten caracteres de espacio en ninguna de estas tres cadenas de caracteres. Es ms


seguro limitar los caracteres utilizados a letras, nmeros, y el guin bajo "_".
Advertencia 2: Si cambia el nombre a una zona o la quita, debera detener y luego iniciar el cortafuegos para
instalar los cambios en lugar de volver a iniciarlo en la pgina principal de la seccin "Reglas del cortafuegos".
Ejemplo: Tiene una granja de servidores web todos ubicados en el misma sub-red. Aqu crearemos esa zona y
la configuraremos ms tarde.
Zona:

www

Mostrar nombre de zona:

WWW

Comentarios:

Granja_de_Servidores_Web

72

Captulo 6. Configurando el comportamiento propiamente dicho del cortafuegos

6.2.2. Asociando zonas a las interfaces

A cada interfaz Ethernet que importa al cortafuegos debe estar asociada al menos una zona. Es posible asociar
mltiples zonas a una nica interfaz a travs de las zonas "host". Este formulario tambin permite configurar
con precisin las opciones asociadas a la interfaz.

ID de la interfaz:

Este nmero nico (ID) ser utilizado en todos los lugares donde se
necesite identificar unvocamente a la interfaz. No se recomienda
modificar el valor predeterminado propuesto.

Zona:

Elija la zona que desea asociar con la interfaz en la lista desplegable. La


zona especial "-" significa que varias zonas "host" estarn asociadas con
dicha interfaz.

Interfaz:

Elija la interfaz que desea configurar en la lista desplegable. Si no se


muestran las interfaces deseadas, primero debe declararlas en la
seccin "Sistema".

Difusin:

La direccin de difusin para la sub-red conectada a esta interfaz. Esto


se debera dejar en blanco para interfaces Punto a Punto (ppp*, ippp*);
si necesita especificar opciones para tales interfaces, ingrese "-" en esta
columna. Si pone el valor especial "detect" en esta columna, el
cortafuegos determinar automticamente la direccin de difusin.

opciones:

Nueve opciones que se pueden marcar para especializar el


comportamiento de la interfaz. Vea la tabla de abajo.

Debajo tiene detalles acerca de las opciones disponibles para las interfaces. Debe revisarlas todas con cuidado
para cada interfaz; para algunas interfaces en particular algunas de las opciones son altamente recomendables.
dhcp

Se asigna una direccin IP a la interfaz por medio de DHCP o un


servidor DHCP que est corriendo en el cortafuegos la utiliza. El
cortafuegos se configurar para permitir el trfico DHCP hacia y desde
la interfaz incluso cuando el cortafuegos est detenido.

73

Captulo 6. Configurando el comportamiento propiamente dicho del cortafuegos

noping

Esta interfaz ignorar los paquetes ICMP de pedido de eco (ping).

routestopped

Cuando el cortafuegos est detenido, se aceptar el trfico hacia y


desde esta interfaz y el ruteo ocurrir entre esta interfaz y otras
interfaces con la opcin "routestopped" activa.

norfc1918

Los paquetes que llegan a esta interfaz y tienen una direccin fuente o
destino que est reservada en RFC 1918 (Direcciones de red privadas)
se registrarn e ignorarn. Por lo general se utiliza esta opcin para las
interfaces conectadas a la Internet.

routefilter

Invocar a la facilidad de filtrado de ruta del ncleo sobre esta interfaz.


El ncleo rechazar cualquier paquete que ingresa por esta interfaz que
tiene una direccin fuente que sera ruteada hacia afuera a travs de
otra interfaz en el cortafuegos. Advertencia: Si especifica esta opcin
para una interfaz, entonces dicha interfaz debe estar activa antes de
iniciar el cortafuegos.

multi

La interfaz tiene mltiples direcciones y Usted desea poder rutear entre


las mismas. Ejemplo: tiene dos direcciones en su nica interfaz local
eth1, una para cada sub-red 192.168.1.0/24 y 192.168.2.0/24 y desea
rutear entre estas sub-redes. Debido a que slo tiene una interfaz en la
zona local, normalmente el cortafuegos no crear una regla para
reenviar los paquetes de eth1 a eth1. Si aade "multi" en la entrada para
eth1 entonces el cortafuegos crear la cadena loc2loc y la regla de
reenvo apropiada.

dropunclean

Los paquetes de esta interfaz que se seleccionan debido al objetivo de


coincidencia unclean en iptables se registrarn y luego ignorarn,
opcionalmente.

logunclean

Esta opcin funciona como la anterior con la excepcin que los


paquetes que cumplen con el objetivo de coincidencia unclean en
iptables se registran pero no se ignoran.

blacklist

Esta opcin causa que los paquetes entrantes en esta interfaz se


verifiquen contra la lista negra. Vea la sub-seccin "lista negra".

Ejemplo: Con el mismo ejemplo de la zona de servidores web, ahora indicaremos que a la zona "www" se
atribuye la sub-red conectada a la interfaz "eth3".
Zona:

www

Interfaz:

eth3

Difusin:

detectar

74

Captulo 6. Configurando el comportamiento propiamente dicho del cortafuegos

6.2.3. Asociando zonas host a interfaces

Si ha asignado una zona especial "-" a una interfaz, ahora debe definir las zonas "host" para dicha interfaz.
Una zona host" es meramente un grupo de mquinas identificadas por su sub-red comn. Se puede reducir a
una nica mquina.

ID del host:

Este nmero nico (ID) se utilizar en todos los lugares donde sea
necesario identificar unvocamente a esta zona host.

Zona:

Elija el nombre de la zona a utilizar para esta zona host en la lista


desplegable.

Interfaz:

Elija la interfaz asociada a esta zona host en la lista desplegable. Elija


"+" si no desea asociar una interfaz en particular a la direccin de la
zona o sub-red. Nota: el uso de "+" debilita levemente al cortafuegos e
incrementa levemente la latencia de los paquetes.

Direccin IP:

La direccin del host o sub-red para las mquinas asociadas a esta zona
host. Ejemplo: "192.168.2.0/2".

opciones:

La opcin "routestopped", si est marcada, tiene el efecto siguiente:


Cuando se detiene el cortafuegos, el trfico hacia y desde este host (o
estos hosts) se aceptar y ocurrir el ruteo entre este host y otras
interfaces y hosts con la opcin "routestopped".

Ejemplo: desea que algunas mquinas precisas en la red local puedan administrar el cortafuegos, incluso si
el cortafuegos est detenido. Luego de haber configurado la interfaz local "eth2" como asignada a la zona
especial "-" con la opcin "multi", debe configurar la zona host especial "adm" que slo se corresponde con
algunas mquinas de la sub-red local.
Zona:

adm

Interfaz:

eth2

Direccin IP:

192.168.1.0/25

opciones:

routestopped

75

Captulo 6. Configurando el comportamiento propiamente dicho del cortafuegos

6.3. Configuraci
on del enmascarado, NAT est
atica y Proxy ARP

Esta sub-seccin propone servicios para facilitar las comunicaciones entre la Internet y las mquinas internas,
ya sean clientes o servidores.

Advertencia: antes de salir de la misma, no olvide hacer clic sobre el botn "Aplicar" cuando ha finalizado de
configurar los servicios necesarios de esta sub-seccin.
La parte "Enmascarado clsico" maneja las reglas que permiten que los clientes internos accedan a la Internet.
Para cada una de las reglas definidas (si existe alguna), haga clic sobre el icono
o sobre el icono

para modificar la regla

para quitar definitivamente ese enmascarado.

Si desea definir un enmascarado nuevo, haga clic sobre el icono

(Aadir enmascarado).

La parte "NAT esttica" maneja las reglas para la Traduccin de la direccin de red. Esto permite que los
servidores internos (generalmente en la DMZ) aparezcan como que son parte de la Internet para los clientes
externos.

76

Captulo 6. Configurando el comportamiento propiamente dicho del cortafuegos

Para cada una de las reglas definidas (si existe alguna), haga clic sobre el icono
modificar la regla, o sobre el icono

correspondiente para

para quitar dicha NAT definitivamente.

Si desea aadir una regla NAT nueva, haga clic sobre el icono

(Aadir NAT).

Finalmente, en la ltima parte de la pgina, las reglas "Proxy ARP".

6.3.1. Enmascarado de IP cl
asico

Para permitir que los clientes de su red interna accedan a la Internet, debe enmascarar esta red con respecto a
la Internet, ya que est basada en direcciones privadas que no son vlidas en la Internet.

ID:

El nmero nico (ID) que identifica a esta regla clsica de enmascarado


de IP.

Red enmascarada:

La sub-red que desea que enmascare la interfaz de abajo. La misma se


puede expresar como una nica direccin IP, una sub-red o el nombre
de una interfaz. Opcionalmente, la sub-red puede contener un "!" al
final y una lista separada por comas de las direcciones y/o sub-redes
que se deben excluir del enmascarado.

A travs de la interfaz:

La interfaz que enmascarar a la sub-red; normalmente es su interfaz


conectada a la Internet.

Red/Host opcional:

Opcionalmente puede especializar la regla aadiendo una sub-red o IP


de un host. Cuando se aade esta calificacin, slo se enmascararn los
paquetes dirigidos a ese host o sub-red.

Direccin fuente (SNAT)


opcional:

La direccin fuente a utilizar para los paquetes salientes. Esta columna


es opcional y si se deja en blanco se utiliza la direccin IP primaria de la
interfaz.

Ejemplo 1: Tiene una cantidad de tneles IPSEC a travs de ipsec0 y desea enmascarar el trfico de su sub-red
192.168.9.0/24 slo a la sub-red remota 10.1.0.0/16.
Red enmascarada:

192.168.9.0/24

A travs de la interfaz:

ipsec0

Red/Host opcional:

10.1.0.0/16

Direccin fuente (SNAT):

77

Captulo 6. Configurando el comportamiento propiamente dicho del cortafuegos


Ejemplo 2: Tiene una lnea DSL conectada a eth0 y una red local (192.168.0.0/24) conectada a eth1. Desea que todas las conexiones local->red utilicen la direccin fuente 206.124.146.176. Es ms, desea excluir a
192.168.10.44 y 192.168.10.45 de la regla SNAT.
Red enmascarada:

192.168.10.0/24!192.168.10.44,192.168.10.45

A travs de la interfaz:

eth0

Host/Red opcional:
Direccin fuente (SNAT):

206.124.146.176

6.3.2. Traducci
on de direcci
on de red est
atica

NAT esttica es una manera de hacer que los sistemas detrs de un cortafuegos configurados con una IP
privada (aquellas reservadas para uso privado segn RFC 1819) parezcan tener direcciones IP pblicas. Para
permitir el acceso a la Internet a los clientes de su red interna, debe enmascarar esta red con respecto a la
Internet, ya que est basada en direcciones privadas que no son vlidas en la Internet.

IMPORTANTE: Si todo lo que desea es reenviar puertos a servidores detrs de su cortafuegos, NO desea
usar NAT esttica. El reenvo de puertos tambin se puede lograr con entradas simples en la sub-seccin
"reglas". Tambin, en la mayora de los casos Proxy ARP brinda una solucin superior a NAT esttica ya que
los sistemas internos se acceden utilizando la misma direccin IP internamente y externamente.
ID:

El nmero nico (ID) que identifica a esta regla NAT esttica.

IP externa pblica:

Direccin IP externa para la traduccin - Esta NO debera ser la


direccin IP primaria de la interfaz que se nombra en el campo
siguiente.

Sobre la interfaz de red:

Interfaz sobra la cual desea que aparezca la "IP externa pblica".

IP interna privada (RFC 1918):

Direccin IP interna para la traduccin. Debe ser una direccin IP


privada segn lo define la RFC 1918.

Estn disponibles dos opciones para la traduccin:

78

Captulo 6. Configurando el comportamiento propiamente dicho del cortafuegos

Todos los hosts

Si se activa, esta NAT ser efectiva desde todos los hosts. Si no,
entonces NAT slo ser efectiva a travs de la interfaz que se nombra
en el campo "Sobre esta interfaz de red".

Sistema cortafuegos

Si se activa, NAT ser efectiva tambin desde el sistema cortafuegos en


s mismo.

Ejemplo: Deseamos hacer que el sistema interno con la IP 10.1.1.2 aparezca estar en la sub-red 130.252.100.* de
la Internet. Si asumimos que la interfaz conectada a la Internet es eth0, entonces la regla siguiente hara que el
sistema con IP 10.1.1.2 parezca tener 130.252.100.18 como direccin IP.
IP externa pblica:

130.252.100.18

Sobre esta interfaz de red:

eth0

IP interna privada:

10.1.1.2

Todos los hosts

Sistema cortafuegos

Nota 1: La opcin "Todos los hosts" se utiliza para especificar que el acceso a la IP externa desde todas las
interfaces del cortafuegos debera pasar por NAT. Si se configura en "No", slo el acceso desde la interfaz en
el campo indicado debera pasar por NAT.
Nota 2: Activar la opcin "Sistema cortafuegos" hace que el paquete que se origina en el cortafuegos propiamente dicho y que est destinado a la direccin "externa" sea redireccionado a la "IP interna privada".

6.3.3. Reglas del Proxy ARP

Este formulario se utiliza para definir las reglas del Proxy ARP (Address Resolution Protocol - Protocolo de
resolucin de direcciones). Necesita una regla para cada sistema que pasar por el Proxy ARP.

ID:

El nmero nico (ID) que identifica esta regla del Proxy ARP.

Direccin IP del servidor:

Direccin del sistema objetivo.

Interfaz interna:

La interfaz que conecta al sistema. Si la interfaz es obvia a partir de la


sub-red, puede elegir "-".

Interfaz externa:

La interfaz externa que Usted desea que honre pedidos ARP para la
"Direccin IP del servidor" especificada arriba.

79

Captulo 6. Configurando el comportamiento propiamente dicho del cortafuegos

Ya tiene una ruta a la IP del


servidor:

Si ya tiene una ruta a travs de la "Interfaz interna" a la "Direccin IP


del servidor", marque esta opcin. Si desea que el cortafuegos
propiamente dicho aada la ruta, debe asegurarse que esta opcin no
est marcada.

Ejemplo: tiene una direccin IP pblica 155.182.235.0/28. Usted configura su cortafuegos como sigue:
eth0 - 155.186.235.1 (conexi
on con la Internet)
eth1 - 192.168.9.0/24 (sistemas locales enmascarados)
eth2 - 192.168.10.1 (interfaz conectada con su DMZ)

En su DMZ, usted desea instalar un servidor web/FTP con direccin pblica 155.186.235.4. En el servidor web,
hace la sub-red igual que eth0 en el cortafuegos y configura a 155.186.235.1 como la pasarela predeterminada:
Direccin IP del servidor:

155.186.235.4

Interfaz interna:

eth2

Interfaz externa:

eth0

Ya tiene una ruta a la IP del


servidor:

No

Nota: Puede desear configurar a los servidores en su DMZ con una sub-red que es ms pequea que la sub-red
de su interfaz conectada con la Internet. En este caso tendr que poner "S" en la columna HAVEROUTE (ya
tiene una ruta).

80

Captulo 6. Configurando el comportamiento propiamente dicho del cortafuegos

6.4. Configuraci
on de las polticas predeterminadas

Esta sub-seccin se utiliza para describir la poltica del cortafuegos con respecto al establecimiento de conexiones. El establecimiento de conexiones se describe en trminos de clientes que inician las conexiones y
servidores que reciben dichos pedidos de conexin. Las polticas definidas aqu son las polticas predeterminadas. Si no aplica regla alguna de la sub-seccin "Reglas" a un pedido de conexin en particular, entonces se
aplica la poltica predeterminada definida aqu.

La tabla resume todas las polticas predeterminadas configuradas en este momento. Las configuraciones de
fbrica hacen que, predeterminadamente, todas las polticas sean "REJECT" (RECHAZAR), de forma tal que
slo se permiten las conexiones que se explicitan en la sub-seccin "Reglas".
Atencin: El orden es importante: el cortafuegos procesa las reglas de las polticas de arriba hacia abajo y
utiliza la primer poltica aplicable que encuentra. Por ejemplo, en el archivo de polticas siguiente, la poltica
para las conexiones (loc, loc) sera ACCEPT (ACEPTAR) como lo especifica la primer entrada incluso cuando
la tercer entrada en el archivo especifica REJECT (RECHAZAR).
Si hay muchas reglas, puede filtrarlas por zona cliente y servidor. Elija las zonas "cliente" y "servidor" deseadas
entre las que estn disponibles en las listas desplegables y haga clic sobre el icono
"*" es simplemente un comodn que se corresponde con todas las zonas.

. La zona especial

Recordatorio: La zona "fw" designa al cortafuegos en s mismo.


Para cada una de las polticas definidas, haga clic sobre el icono

correspondiente para modificar dicha


81

Captulo 6. Configurando el comportamiento propiamente dicho del cortafuegos

poltica o sobre

para quitarla definitivamente. Para aadir una poltica nueva, haga clic sobre el icono

6.4.1. Definir una poltica predeterminada

Est a punto de definir aqu la poltica predeterminada para los pedidos de conexin entre una zona cliente y
una servidor.

Para que se active esta poltica, la conexin se debe originar desde una mquina en la "Zona cliente" y estar
dirigida a una mquina que pertenezca a la "Zona servidor". Luego se tomar la accin que dicta la "Poltica
predeterminada" para dicha conexin. Opcionalmente, si se ha activado esta poltica, la misma generar una
entrada en el registro con nivel "Registro".
ID de poltica

El nmero nico (ID) que identifica esta regla de poltica.

Zona cliente

La zona desde la cual debe originar la conexin para que se active la


poltica.

Zona servidor

La zona a la cual est dirigida la conexin.

Poltica predeterminada

La accin que se tomar si se activa realmente la poltica. Vea la tabla


debajo para detalles sobre las acciones posibles.

Nivel de registro

Si se configura en "-", no se genera mensaje de registro cuando se aplica


la poltica. En caso contrario se genera un mensaje de syslog con el
nivel indicado cuando se aplica la poltica. Vea la pgina man de
syslog.conf para una descripcin de cada nivel de registro.

Aqu tiene una pequea descripcin de las cuatro polticas posibles:


ACCEPT

ACEPTAR. Se permite la conexin.

DROP

TIRAR. Se ignora el pedido de conexin.

REJECT

RECHAZAR. Se bloquea el pedido de conexin y se enva un mensaje


"destination-unreachable" (no se puede alcanzar el destino) de vuelta al
cliente.

CONTINUE

CONTINUAR. La conexin no se acepta, ni se tira, ni se rechaza. Esto


se puede utilizar cuando una o ambas zonas nombradas en la entrada
son sub-zonas de, o se intersecan con, otra zona.

82

Captulo 6. Configurando el comportamiento propiamente dicho del cortafuegos


Ejemplo: Usted confa en las personas que estn en su red local "lan" y no desea restringirles el acceso a servicio
alguno en la web (zona "wan"). No desea registrar la actividad de los mismos.
Zona cliente

loc

Zona servidor

wan

Poltica predeterminada

ACCEPT

Nivel de registro

6.5. Configuraci
on de las reglas del cortafuegos

Aqu estamos en el ncleo mismo del cortafuegos. La sub-seccin "Reglas" definen las excepciones a las polticas establecidas en "Polticas predeterminadas". Hay una entrada en la tabla para cada una de estas reglas.

83

Captulo 6. Configurando el comportamiento propiamente dicho del cortafuegos


La tabla resume todas las reglas configuradas en este momento. Predeterminadamente, MandrakeSecurity
define reglas estndar para las zonas predeterminadas (LAN, WAN, DMZ). Debido a que la poltica predeterminada es "TIRAR" (ignorar) cualquier conexin, las reglas predeterminadas permiten precisar algunas:

Las computadoras de la LAN pueden conectar con la Internet (WAN) para navegar por la web, servicios de
correo, FTP, y conexiones SSH;

Las computadoras de la LAN se puede conectar al servidor SSH del cortafuegos o la interfaz web MandrakeSecurity;

Se aceptan todos los pedidos de DNS (Servicio de Nombres de Dominio) dirigidos a la Internet;

Se permiten los ecos "ping" entre las zonas internas.

Si hay muchas reglas, las puede filtrar. Elija las zonas "Cliente" y "Servidor" deseadas as como tambin un
"Puerto" en las listas desplegables y haga clic sobre el icono
mente un comodn que coincide con todas las posibilidades.

. La zona o puerto especial "*" es simple-

Recuerde: la zona "fw" designa al cortafuegos en s mismo.


Para cada regla definida en la tabla haga clic sobre el icono
regla o sobre

correspondiente para modificar dicha

para quitarla definitivamente.

Si desea aadir una regla nueva, en realidad puede hacerlo de dos maneras: haga clic sobre el icono "Aadir
host"

correspondiente:

Aadir regla simple

Aqu se le presentar el formulario de regla simple, permitiendo definir


una regla "ACCEPT" especificando slo la fuente, destino y protocolo.

Aadir regla personalizada

El formulario que se muestra aqu permite la definicin de reglas ms


complejas, con todos los tipos de acciones disponibles, y algunas
opciones tales como registro, reenvo y SNAT.

6.5.1. Definiendo una regla simple del cortafuegos: ACCEPT

84

Captulo 6. Configurando el comportamiento propiamente dicho del cortafuegos


Aqu est a punto de definir una regla nueva para autorizar una conexin especfica entre dos zonas diferentes.

Siempre que una conexin coincida con el criterio definido aqu, se permitir la misma.
ID de la regla

El nmero nico (ID) que identifica esta regla de poltica.

Servicios predefinidos

Elija un servicio comn en la lista desplegable, o ingrese un nombre o


el nmero de un servicio en el campo.

Protocolo

El tipo de protocolo asociado a dicho servicio.

Proveniente de

La zona desde la cual se origina el pedido de conexin.

y dirigido a

La zona hacia la cual se dirige el pedido de conexin, seguida


opcionalmente de una direccin IP o de una sub-red. Deje "-" en el
campo para toda la zona.

Reenviar

Cuando est marcada esta opcin, se modifica el comportamiento de la


regla. Se capturarn todos los pedidos desde la fuente especificada,
cualquiera sea el sistema destino. Luego, se reenviar este pedido a la
IP "y dirigido a". En este caso el campo "y dirigido a" debe contener una
direccin IP especfica.

Ejemplo: Usted desea reenviar todos los pedidos de conexin por SSH desde la Internet al sistema local
192.168.1.3.
Servicios predefinidos

Conexin remota segura [ssh]

Protocolo

tcp

Proveniente de

wan

y dirigido a

lan | 192.168.1.3

Reenvo

[marcado]

6.5.2. Definiendo una regla compleja del cortafuegos

85

Captulo 6. Configurando el comportamiento propiamente dicho del cortafuegos


Est a punto de definir una regla nueva para manejar una conexin especfica entre dos zonas diferentes. Si el
pedido coincide con los diferentes criterios definidos aqu, se tomar la accin "Resultado".

Aqu tiene una descripcin de los diferentes campos disponibles en el formulario, debe completarlos de acuerdo al criterio que desea que coincida para activar esta regla. Tambin estn disponibles algunas opciones para
manejar estas conexiones:
ID de la regla

El nmero nico (ID) que identifica a esta regla de poltica.

Resultado

La accin tomada para el pedido de conexin que coincide con esta


regla. Vea la tabla debajo.

Registro

Configurado en "info" si desea que cada una de estas conexiones quede


registrada en el registro del sistema cuando se acepten.

Servicios predefinidos

Elija un servicio comn en la lista desplegable, o ingrese un nombre o


nmero de servicio en el campo.

Protocolo

El tipo de protocolo asociado a ese servicio.

Cliente

La zona desde la cual proviene el pedido de conexin. Se pueden


reducir las coincidencias especificando una IP o sub-red precisas, o
incluso un nmero de puerto. Deje "-" en el campo para hacer coincidir
con cualquier IP o puerto.

Servidor

La zona hacia la cual est dirigida el pedido de conexin. Se pueden


reducir las coincidencias especificando una IP o sub-red precisas, o
incluso un nmero de puerto. Deje "-" en el campo para hacer coincidir
con cualquier IP o puerto.

Direccin de reenvo

Si el pedido est dirigido a la IP especificada aqu (o est configurado


en "all" - todos), ser reenviado a la IP y puerto "Servidor". En este caso,
el campo "Servidor" debe contener una direccin IP especfica.

SNAT

Si se especifica, y el reenvo est activo arriba, entonces la direccin


fuente del pedido ser configurada a este valor "SNAT" antes del
reenvo al servidor.

Aqu tiene una descripcin corta de las cuatro acciones posibles:


ACCEPT (ACEPTAR)

Se permite la conexin.

DROP (TIRAR)

Se ignora el pedido de conexin.

REJECT (RECHAZAR)

Se bloquea el pedido de conexin y se enva un mensaje de "destino


inalcanzable" al cliente.

CONTINUE (CONTINUAR)

La conexin no se acepta, ni se ignora, ni se rechaza. Esto se puede


utilizar cuando una o ambas zonas nombradas en la entrada son
sub-zonas de, o se intersecan con, otra zona.

Ejemplo: desea que el servidor FTP con direccin 192.168.2.2 en su DMZ enmascarada se pueda acceder desde
la sub-red local 192.168.1.0/24. Note que debido a que el servidor est en la sub-red 192.168.2.0/24, podemos
asumir que el acceso al servidor desde dicha sub-red no involucrar al cortafuegos.
Resultado

ACCEPT

Registro
Servicios predefinidos

ftp

Protocolo

tcp

Cliente

loc | 192.168.1.0/24

Servidor

dmz | 192.168.2.2

Direccin de reenvo

155.186.235.151

86

Captulo 6. Configurando el comportamiento propiamente dicho del cortafuegos

SNAT

6.6. Manteniendo la Lista Negra

Esta pgina lista las mquinas (hosts) o sub-redes para las cuales los pedidos de conexin se negarn sistemticamente, incluso si la regla explcita permite la conexin en condiciones normales. Note que para que esta lista
sea efectiva, la(s) interfaz(ces) en la(s) que se conecta(n) dichas IP deben tener activa la opcin "lista_negra" en
la sub-seccin "Configuracin de Zonas".

Para aadir una IP/sub-red nueva a la lista negra, debe ingresarla en el campo "Aadir IP/Sub-red del host"
y hacer clic sobre el icono "Aadir Entrada"

. La direccin nueva aparecer en la lista.

Para quitar une IP/sub-red de la lista negra, debe seleccionarla en la lista y hacer clic sobre el icono "Quitar
entrada"

87

Captulo 6. Configurando el comportamiento propiamente dicho del cortafuegos

6.7. Configuraci
on de las reglas de Tipo de servicio

Esta pgina lista y permite manejar las reglas de TOS (Tipo de Servicio) del cortafuegos. Las reglas TOS ordenan al cortafuegos modificar los encabezados de los paquetes aadiendo un valor TOS. Este valor brinda
informacin adicional, notablemente a los routers, de forma tal que se da un tratamiento ptimo a los paquetes
de acuerdo al uso de los mismos.

La tabla resume todas las reglas TOS configuradas actualmente.


Si hay muchas reglas, las puede filtrar. Elija las zonas "Cliente" y "Servidor" deseadas as como tambin un
"Puerto" en las listas desplegables y haga clic sobre el icono
mente un comodn que coincide con todas las posibilidades.

. La zona o puerto especial "*" es simple-

Recuerde: la zona "fw" designa al cortafuegos en s mismo.


Para cada una de las reglas definidas en la tabla, haga clic sobre el icono
ficar dicha regla o sobre

para quitarla definitivamente.

Si desea aadir una regla nueva, haga clic sobre el icono "Aadir regla TOS"

88

correspondiente para modi-

Captulo 6. Configurando el comportamiento propiamente dicho del cortafuegos

6.7.1. Editando las reglas TOS

Este formulario define las reglas TOS (Type Of Service - Tipo de servicio), que aaden un valor TOS a hacer
coincidir en los encabezados de los paquetes.

Siempre que un paquete que est pasando a travs del cortafuegos coincida con el criterio definido aqu, se
aadir el valor TOS correspondiente.
ID de la regla

El nmero nico (ID) que identifica a esta regla TOS.

TOS

Elija el tipo de tratamiento que mejor se ajustar al tipo de paquetes


que coincidan con esta regla.

Cliente

La zona desde la cual proviene el paquete. La coincidencia se puede


restringir especificando: una IP, interfaz o sub-red precisas en el campo
del medio; o incluso un nmero de puerto en el campo de la derecha.
Deje "-" en un campo para hacer coincidir con cualquier IP o puerto.

Servidor

La zona hacia la cual se dirige el paquete. La coincidencia se puede


restringir especificando: una IP, interfaz o sub-red precisas en el campo
del medio; o incluso un nmero de puerto en el campo de la derecha.
Deje "-" en un campo para hacer coincidir con cualquier IP o puerto.

Protocolo

El tipo de protocolo asociado a ese servicio.

Ejemplo: Desea que los paquetes de datos FTP se manejen de forma tal de maximizar la velocidad de transferencia, sin importar la confiabilidad y demora, en todas las direcciones.
TOS

Maximizar-Transferencia (8)

Cliente

todos

Servidor

todos

Protocolo

ftp-data

89

Captulo 6. Configurando el comportamiento propiamente dicho del cortafuegos

90

Captulo 7. Configuraci
on de VPN
Este captulo explica qu es una VPN y cmo configurar una VPN utilizando MandrakeSecurity para actuar
tanto como el lado servidor como el cliente en una VPN.

7.1. Qu
e es una VPN?
VPN es el acrnimo de Virtual Private Networking (Red Privada Virtual) y es una forma de establecer redes
privadas sobre redes pblicas, como la Internet, de manera segura. Vea Figura 7-1.

Figura 7-1. Esquema de conexin VPN

VPN utiliza tneles para crear una red privada que atraviesa la Internet pblica. Un tnel se puede pensar
como el proceso de encapsular un paquete dentro de otro y enviarlo a travs de la red (la Internet en el caso
de la VPN) MandrakeSecurity usa IPSec1 como protocolo para el manejo de los tneles.
La red de confianza entre las mquinas privadas a travs de la Internet pblica se construye por medio de
los Certificados y una Autoridad Certificante (CA del ingls Certificate Authority) La CA es una entidad en la
que confan los participantes de una VPN. Los certificados que crea su sistema MandrakeSecurity adhieren
a los estndares de la industria pero no estarn garantizados por una CA tercera parte, como VeriSign por
ejemplo. Por supuesto, Usted tambin puede utilizar sus propios certificados aprobados por CAs pblicas con
su sistema MandrakeSecurity .

7.2. Por qu
e una VPN?
Configurar una VPN tiene muchas ventajas entre las que se encuentran las siguientes:

Posibilidad de conectar entre s redes privadas distribuidas geogrficamente. Este es el motivo mismo que
dio origen al desarrollo de las VPN. Piense en conectar entre s sucursales diferentes de su empresa sin
importar el lugar del mundo en el que se encuentren.

Comunicaciones seguras. Debido a que todo el trfico en la VPN est cifrado, puede estar tranquilo que sus
datos permanecen seguros mientras viajan por la red.

Reduccin de costos. Al utilizar una red mundial ya establecida (la Internet) todo lo que Usted necesita
para conectar entre s sus redes privadas dispersas ya est en su lugar. No es necesario pagar canales de
comunicacin dedicados (muy) onerosos. Es ms que suficiente utilizar uno o dos vnculos de alta velocidad
con la Internet, como por ejemplo conexiones DSL.

1.

Tambin se soporta IPIP.

91

Captulo 7. Configuracin de VPN

En realidad, tambien se pueden configurar VPN utilizando conexiones con m


odems anal
ogicos, pero por lo general se prefiere un
tipo de conexi
on permanente (como el que brindan DSL o cablem
odem) Esto depender
a de la forma en la cual Usted utiliza a la
VPN.

Por supuesto, tambin hay algunas (pocas) contras:

Usted no administra toda la red. Debido a que las redes pblicas son una parte inherente de una red VPN,
Usted no tiene control alguno sobre la parte pblica de la red.
Sin embargo, esto tambin es uno de los mayores beneficios de la VPN: administracin reducida de la red
y costos menores. Adems, la parte pblica de la red es la Internet y esta ltima est bien administrada por
personas capacitadas y con recursos suficientes para asegurar la calidad de servicio necesaria.

Punto nico de falla. Por lo general, slo hay un servidor VPN por lo que, si esa mquina falla, la red se
cae. Sin embargo, este riesgo se puede disminuir utilizando mquinas tolerantes a las fallas. Como siempre,
todo esto depende de cuan crticas son sus operaciones.

7.3. Configurando un Servidor VPN


Las secciones siguientes detallarn la configuracin de un servidor VPN sobre un sistema MandrakeSecurity .
Se asume que el sistema MandrakeSecurity tiene una conexin permanente con la Internet con una direccin
IP fija y una red LAN detrs del mismo con la subred 192.168.0/24. Adems, el sistema MandrakeSecurity
actuar como la CA para la VPN.
Los pasos de configuracin se presentarn en un orden lgico. Es altamente recomendable que los siga en
dicho orden. Sin embargo, si Usted sabe lo que est haciendo, puede realizar algunos de los pasos como lo
desee.

7.3.1. Hacer una copia de respaldo de la configuraci


on corriente de MandrakeSecurity
Debido a que la configuracin de una VPN involucra cambios a las polticas y reglas del cortafuegos, es una
buena idea realizar una copia de respaldo de la configuracin utilizando la funcin de Respaldo / Restauracin
provista en la seccin Herramientas. Por favor, consulte Herramientas de administracin, pgina 129 para ms
informacin.

92

Captulo 7. Configuracin de VPN

7.3.2. Crear una zona VPN


Vaya a la subseccin Configuracin de Zonas de la seccin Reglas del Cortafuegos y haga clic sobre el vnculo
Aadir zona. En la figura siguiente se muestran valores de ejemplo para los campos:

Figura 7-2. Aadiendo una zona VPN

Por favor, consulte Configurando el comportamiento propiamente dicho del cortafuegos, pgina 69 para ms informacin acerca del significado de los diferentes campos.

El caracter espacio est


a prohibido para cualquiera de estas cadenas
de caracteres. Es m
as seguro limitar los caracteres utilizados a las
letras, n
umeros, y el caracter del gui
on bajo (_)

Luego presione el botn Siguiente para aadir la zona nueva que identifica a la VPN propiamente dicha. Una
vez que vea la zona listada en la pgina Configuracin de Zonas, presione el botn Aplicar para que sus cambios
tengan efecto.

93

Captulo 7. Configuracin de VPN

7.3.3. A
nadir la interfaz de red VPN
Vaya a la subseccin Configuracin de Zonas de la seccin Reglas del Cortafuegos y haga clic sobre el vnculo
Aadir interfaz. En la figura siguiente se muestran valores de ejemplo para los campos:

Figura 7-3. Aadiendo una interfaz de red ipsec

Por favor, consulte Configurando el comportamiento propiamente dicho del cortafuegos, pgina 69 para ms informacin acerca del significado de los diferentes campos.
Luego presione el botn Siguiente para aadir la interfaz IPSec para la VPN. Una vez que ve la interfaz listada
en la pgina Configuracin de Zonas, presione el botn Aplicar para que sus cambios tengan efecto.

Las interfaces ipsecN son interfaces l


ogicas asociadas a una interfaz
fsica, como por ejemplo eth0. Se puede asociar m
as de una VPN
con la misma interfaz ipsecN y a
nadir zonas VPN diferentes para
configurar polticas por zona, si Usted lo necesita.

7.3.4. A
nadir polticas predeterminadas del cortafuegos para el tr
afico VPN
Ahora debe aadir polticas predeterminadas del cortafuegos para manejar el trfico VPN. Para esto, vaya a la
subseccin Polticas predeterminadas de la seccin Reglas del Cortafuegos y haga clic sobre el vnculo Aadir
poltica. En la figura siguiente se muestra la poltica para el trfico entrante desde cualquier zona y dirigido a

94

Captulo 7. Configuracin de VPN


la VPN (all->vpn):

Figura 7-4. Aadiendo polticas predeterminadas para la VPN


Tambin debe aadir una poltica similar para el trfico entrante desde la VPN y dirigido a las otras zonas
(vpn->all) para configurar un vnculo de comunicacin bidireccional.
Por favor, consulte Configurando el comportamiento propiamente dicho del cortafuegos, pgina 69 para ms informacin acerca del significado de los diferentes campos.
Luego presione el botn Siguiente para aadir la poltica del cortafuegos para la VPN. Una vez que ha aadido
las dos polticas predeterminadas y las ve listadas en la pgina Configuracin de las polticas predeterminadas,
presione el botn Aplicar para que sus cambios tengan efecto.

Esta configuraci
on permitir
a todo y cualquier tipo de tr
afico VPN.
Est
a bien dejarlo as para la configuraci
on y pruebas iniciales de la
VPN, pero una vez que Usted est
a seguro que la VPN est
a establecida y funcionando, debera cambiar ambas polticas predeterminadas
definidas arriba al comportamiento RECHAZAR y a
nadir reglas para
los tipos especficos de tr
afico que desea permitir sobre la VPN.
Por favor, consulte Probando la VPN y haciendola m
as segura, p
agina 100 para un ejemplo de c
omo configurar reglas para permitir
el tr
afico HTTP.

7.3.5. A
nadir el t
unel VPN en el cortafuegos
Es momento de aadir el tnel VPN en el cortafuegos, que permite el trfico en el puerto 500/udp. Vaya a la
subseccin Tneles de la seccin Reglas del Cortafuegos y haga clic sobre el vnculo Aadir Tnel. En la figura

95

Captulo 7. Configuracin de VPN


siguiente se muestran valores para el tnel:

Figura 7-5. Aadiendo un tnel en el cortafuegos

ID (nico). El identificador nico para este tnel. Es altamente recomendable no realizar cambios a este
valor.

Tipo. El tipo de tnel. ipsec para un tnel IPSec (la configuracin predeterminada y recomendada); ipip
para un tnel IPIP.

Zona. La zona desde/hacia la cual fluir el trfico VPN utilizando este tnel. Para el tipo de VPN que
estamos configurando aqu, esto se debe poner en wan (la zona de la Internet)

IP de la pasarela. La direccin IP de la mquina pasarela remota. En nuestro ejemplo, configuramos esto


en 0.0.0.0/0, lo cual significa que se permitir el trfico VPN desde cualquier lugar de la Internet.

Se puede pensar que configurar esto en 0.0.0.0/0 es un riesgo


de seguridad, y de hecho no es muy seguro. Sin embargo, es la
u
nica configuraci
on posible para las m
aquinas con tipos de conexi
on
con la Internet no permanentes (como los m
odems anal
ogicos) y
m
aquinas sin direcci
on IP fija (casi todas las conexiones DSL y de
cable-m
odem)

Zona de la pasarela (opcional). Configurado en vpn debido a que ser la VPN quien oficie de pasarela
entre ambas redes privadas.

Luego presione el botn Siguiente para aadir el tnel del cortafuegos para la VPN. Una vez que lo vea listado
en la pgina Tneles, presione el botn Aplicar para que sus cambios tengan efecto.

7.3.6. Generar los certificados de la CA


Todas las partes involucradas en una VPN necesitan un certificado como prueba de su identidad (autenticacin) y a los propsitos del cifrado.

Lo siguiente s
olo es necesario si su MandrakeSecurity va a ser
la Autoridad Certificante (CA) de su VPN. Si este no es su caso,
puede ignorar este paso sin problemas.

96

Captulo 7. Configuracin de VPN

Es obligatorio crear primero la Clave para la CA.

7.3.6.1. Clave CA
Vaya a la subseccin CA de la seccin VPN, haga clic sobre el vnculo Clave CA y presione el botn Siguiente.
En la figura siguiente se muestran valores de ejemplo para los campos:

Figura 7-6. Configurando la CA

El caracter espacio est


a prohibido para cualquiera de estas cadenas
de caracteres. Es m
as seguro limitar los caracteres utilizados a las
letras, n
umeros, y el caracter del gui
on bajo (_)

A continuacin una explicacin breve de algunos de los campos (los otros se explican por s solos):

Nombre comn. Este se debe configurar como el FQDN (Fully Qualified Domain Name, Nombre de dominio
completamente calificado) de su mquina MandrakeSecurity .

Das. El tiempo de expiracin, en das, de este certificado. En el ejemplo est puesto en 10 aos.

Das Crl. Cuntos das deben transcurrir hasta que la Lista de Certificados Revocados (CRL) se considera
obsoleta.

Bits. Cuntos bits se deben utilizar para la generacin de las claves. Normalmente se pone en 1024 o 2048.
No utilice valores inferiores a 1024 para este campo.

Pas. El cdigo ISO de dos letras del pas en el que se encuentra su sistema MandrakeSecurity .

Direccin de correo electrnico. La direccin de correo electrnico del administrador del sistema MandrakeSecurity . Normalmente, esto se configura como admin@fqdn_del_host_mandrakesecurity.ext.

97

Captulo 7. Configuracin de VPN


Una vez que est satisfecho con sus ajustes, presione el botn Siguiente y luego haga clic sobre el vnculo
Generar un Certificado Autofirmado para generar al certificado para la CA.

7.3.6.2. Otras Claves


Vaya a la subseccin CA de la seccin VPN y haga clic sobre el vnculo Otras Claves y luego sobre el vnculo
Aadir entradas VPN. Ver el mismo dilogo que en la pgina de la Clave CA.
Es obligatorio que la primer entrada que aada sea la del servidor VPN, en nuestro ejemplo su sistema MandrakeSecurity . Ahora ingrese los mismos valores que ingres para la Clave CA y haga clic sobre el botn
Siguiente.
Cuando esto est hecho, debe agregar las entradas para los puntos remotos. Una vez que aadi todas las
entradas y las ve listadas en la pgina Configuracin de Otra Lista de la CA VPN, presione el botn Aplicar
para que sus cambios tengan efecto.

7.3.7. A
nadir un Servidor VPN
La figura siguiente muestra la VPN que estamos discutiendo, incluyendo detalles sobre la IP y las mscaras
de las redes privadas y el significado de los lados izquierdo y derecho necesarios para la configuracin a
realizar en este paso:

Figura 7-7. Disposicin de la VPN

Entonces, su servidor MandrakeSecurity (Servidor MNF A) est sobre el lado izquierdo y todos los dems
servidores/clientes estn sobre el lado derecho de la VPN. Esta es una convencin que se debe establecer de
antemano y se deben configurar ambas partes (izquierda y derecha) para que la configuracin est completa.
Vaya a la subseccin Servidor de la seccin VPN y haga clic sobre el vnculo Aadir un Servidor VPN. En la
figura siguiente se muestran valores tpicos para los campos:

98

Captulo 7. Configuracin de VPN

Figura 7-8. Aadiendo un lado del Servidor VPN

El servidor VPN debe ser la primer entrada.

Id del Servidor VPN. Identificador nico numrico. Es seguro (y se recomienda) no realizar modificaciones
a este valor.

Lado. Configurado en Izquierda para su sistema MandrakeSecurity y en Derecha para el sistema remoto.

Nombre comn. Esto debe configurarse con el FQDN de su mquina MandrakeSecurity para el lado izquierdo y con el FQDN de la mquina remota para el lado derecho.

IP. La direccin IP de la interfaz Internet de su mquina MandrakeSecurity para el lado izquierdo y la


direccin IP de la mquina remota para el lado derecho.

Sub-red/mscara. La IP y mscara de la red para el lado (izquierdo o derecho) correspondiente. En nuestro ejemplo, la configuramos en 192.168.0.0/24 para el lado izquierdo y en 172.16.1.0/24 para el lado
derecho.

Prximo salto. La direccin IP de la pasarela del sistema. Esto depender de la direccin IP de la mquina que est configurando, pero por lo general es igual que la IP del host pero con 1 como ltimo nmero. Por ejemplo, si la IP de su host es 123.234.123.200, entonces debera configurar este valor como
123.234.123.1.

Autenticacin. x509 es el nico tipo de certificado soportado.

Una vez que aadi tanto el lado izquierdo como el derecho, haga clic sobre el botn Aplicar y luego sobre el
vnculo Reiniciar IPSec para que sus cambios tengan efecto.
Felicidades! Ya est configurado el servidor VPN.

7.3.8. Distribuci
on de los certificados y las claves

Lo siguiente s
olo es necesario si su MandrakeSecurity va a ser
la Autoridad Certificante (CA) de su VPN. Si este no es su caso,
puede ignorar este paso sin problemas.

99

Captulo 7. Configuracin de VPN


Ahora tiene que distribuir todos los certificados y claves necesarias a las partes interesadas. Esta distribucin
debe realizarse de manera segura debido a que la seguridad de toda la VPN depende de dichos certificados y
claves. Puede enviar por correo electrnico los archivos necesarios usando cifrado (ej.: con OpenPGP ), reunirse
personalmente con las partes interesadas y entregarles un disquete con los datos, o cualquier otra forma segura
que se le pueda ocurrir.Nunca enve por correo electrnico estos archivos sin utilizar alguna forma de cifrado.
Los archivos a distribuir a las partes remotas son:

/etc/freeswan/ipsec.d/fqdn_de_mandrakesecurity.crt

/etc/freeswan/ipsec.d/fqdn_del_sistema_remoto.crt

/etc/freeswan/ipsec.d/private/fqdn_del_sistema_remoto.key

Luego las partes remotas deben copiar esos archivos a los lugares apropiados en sus sistemas; de ms est
decir que esta operacin depende del tipo de sistema por lo que aqu no se detallar.

Luego que los certificados y claves se distribuyeron y copiaron a los


lugares apropiados en las m
aquinas remotas, se debe reiniciar el servicio IPSec en dichas m
aquinas remotas para incluir los certificados
y claves distribuidos.

7.3.9. Probando la VPN y haci


endola m
as segura
Lleg el momento de probar la VPN. Esto es bastante simple. Slo debe hacer un ping a la red remota y ver
si obtiene una respuesta. Siguiendo nuestro ejemplo, el comando ping -c 2 172.16.1.10 debera devolver
algo como esto
PING 172.16.1.10 (172.16.1.10) from 192.168.0.70 : 56(84) bytes of data.
64 bytes from 172.16.1.10: icmp_seq=1 ttl=64 time=0.047 ms
64 bytes from 172.16.1.10: icmp_seq=2 ttl=64 time=0.069 ms
--- 192.168.0.70 ping statistics --2 packets transmitted, 2 received, 0% loss, time 1502ms
rtt min/avg/max/mdev = 0.047/0.055/0.069/0.011 ms

asumiendo que la mquina remota, 172.16.1.10, est conectada y funcionando.


Una vez que est seguro que la VPN funciona, debera reemplazar las polticas predeterminadas del cortafuegos para la misma a RECHAZAR (negar, de manera predeterminada, todo el trfico por la VPN) y aadir reglas
del cortafuegos para los servicios especficos que necesita utilizar por medio de su VPN. La figura siguiente
muestra los valores de los campos para una regla del cortafuegos que permite el trfico HTTP en el puerto 80
a travs de la VPN:

100

Captulo 7. Configuracin de VPN

Figura 7-9. Regla para permitir el trfico HTTP sobre la VPN

7.4. Configurar un Cliente VPN


Vaya a la subseccin Cliente de la seccin VPN y haga clic sobre el botn Siguiente. La figura siguiente indica
los valores a ingresar en los diferentes campos:

Figura 7-10. Aadiendo el lado Cliente de una VPN


Una vez que complet todos los campos, presione el botn Aplicar para que sus cambios tengan efecto.

101

Captulo 7. Configuracin de VPN

Por favor, consulte A


nadir un Servidor VPN, p
agina 98 para m
as
informaci
on sobre el significado de los campos.

Una vez que la VPN est


a configurada los roles de cliente/servidor
no tienen por que permanecer iguales. Por ejemplo, Usted podra
configurar un servidor VPN en su red y hacer que los servicios (servidores) accesibles por medio de la misma esten en la red remota.

Debe copiar a su sistema los archivos que se listan en Distribucin de los certificados y las claves, pgina 99 (recuerde que esto depende del sistema y por lo tanto no se explicar aqu como realizarlo) y luego hacer clic
sobre el vnculo Reiniciar IPSec para que los cambios tengan efecto.

102

Captulo 8. Configuraci
on de los clientes enmascarados
Este captulo le mostrar como hacer que sistemas operativos diferentes utilicen una mquina GNU/Linux
con enmascarado configurada como pasarela al mundo exterior. Todas las pruebas resultaron exitosas en los
sistemas operativos siguientes:

Apple Macintosh, con MacTCP u Open Transport;

Commodore Amiga, con AmiTCP o AS225;

Estaciones Digital VAX 3520 y 3100, con UCX (TCP/IP para VMS);

Digital Alpha/AXP, con Linux/Redhat;

IBM AIX (sobre un RS/6000), OS/2 (incluyendo Warp 3) y OS400 (sobre OS/400);

Linux (por supuesto!): cualquier versin del ncleo desde la serie 1.2.x;

Microsoft DOS (con el paquete Telnet de NCSA, soporte parcial para Trumpet DOS), Windows 3.1 (con el
paquete Netmanage Chameleon) y Windows Para Trabajo en Grupo 3.11 (con el paquete TCP/IP);

Microsoft Windows 95, Windows 95 OSR2, Windows 98, Windows 98se;

Microsoft Windows NT 3.51, 4.0 y 2000 (tanto la versin para estaciones de trabajo como la versin para
servidor);

Servidor Novell Netware 4.01, con el servicio TCP/IP;

SCO OpenServer (v3.2.4.2 y 5);

Sun Solaris 2.51, 2.6 y 7.

Veamos los pasos de configuracin para alguno de estos. Si su sistema no est listado, una forma simple de
proceder es: simplemente decirle al sistema operativo qu mquina utilizar como pasarela. Note que nuestro
foco principal aqu es el lado de la pasarela (tambin denominada gateway) de la red: por lo tanto no trataremos
sobre DNS, compartir archivos o problemas de esquema de conexin. Es por esto que para que este captulo
le resulte de alguna utilidad, necesitar una red local bien configurada. Debe referirse a la documentacin de
su sistema para configurarlo adecuadamente, prestando especial atencin a las configuraciones del DNS.
Lo que sigue asume que Usted se encuentra en una red de clase C: sus mquinas tienen direcciones del tipo
192.168.0.x, con una mscara de sub-red configurada en 255.255.255.0, y utilizan eth0 como interfaz de red.
Tambin se da por sentado que la direccin IP de su pasarela es 192.168.0.1, y que sus mquinas pueden
hablar con la pasarela (esto ltimo se puede probar con el comando ping o el equivalente del mismo en su
entorno)

8.1. M
aquina Linux
Hay (como mnimo) tres maneras de hacer esto.

8.1.1. Configuraci
on al vuelo
Probablemente, esta sea la manera ms rpida de proceder. Sin embargo, cuando Usted vuelva a iniciar su
capa de red o todo el sistema, habrn desaparecido todos los cambios que haya hecho en la configuracin!
Si eth0 es la interfaz de red a travs de la cual accede a la pasarela, ingrese (como root) este comando simple:
route add default gw 192.168.0.1 eth0 Ya est! Si la pasarela est configurada y conectada a la Internet
adecuadamente, ahora todo el mundo est a su alcance a travs de su navegador web favorito.

8.1.2. Configuraci
on manual permanente
Para mantener la configuracin cada vez que se apaga y vuelve a iniciar el sistema, debe editar un archivo de
configuracin. En una mquina Mandrake Linux este archivo se denomina /etc/sysconfig/network (puede
ser diferente en la suya) Debe abrirlo con su editor de texto preferido, y luego aadir las lneas siguientes:
GATEWAYDEV="eth0" GATEWAY="192.168.0.1"
Ahora puede volver a iniciar su capa de red con el comando service network restart

103

Captulo 8. Configuracin de los clientes enmascarados

8.1.3. Configuraci
on autom
atica permanente
Para instalar la configuracin automticamente, simplemente debe poner los parmetros correctos en el asistente de configuracin. Consulte la seccin Configuracin de la Internet en la Gua del Usuario. Cuando est
configurando una conexin con la Internet por la red local, el primer paso le ofrece configurar la red en modo
manual o automtico (DHCP):

Figura 8-1. Volviendo a configurar la red local con Draknet


Simplemente ponga la informacin correcta de configuracin en el asistente. Si tiene un servidor bootp o
DHCP en su red local, slo debe marcar la casilla IP automtica y su configuracin est terminada. Si tiene
una direccin IP esttica para su mquina, debe ingresarla en el primer campo luego de asegurarse que la
casilla IP automtica no est marcada. Luego, haga clic sobre el botn Siguiente ->.

104

Captulo 8. Configuracin de los clientes enmascarados

Figura 8-2. Configurando la pasarela con Draknet


Aqu, debe ingresar la direccin IP correcta de la pasarela y la del servidor DNS. Una vez que esto est hecho,
debe seguir los pasos del asistente y volver a iniciar la red cuando el asistente se lo proponga. Y eso es todo.
Su red est configurada apropiadamente y lista para ser utilizada. La configuracin ya es permanente.

8.2. M
aquina Windows XP
Aqu asumiremos que Usted ya ha configurado una conexin de red local. La imagen siguiente muestra los
pasos necesarios para obtener el dilogo deseado.

105

Captulo 8. Configuracin de los clientes enmascarados

Figura 8-3. Configurando la pasarela con Windows XP


Aqu tiene las acciones a tomar para ir de una ventana a la otra:

1. En el escritorio, haga clic derecho sobre el icono Mis sitios de red, y seleccione Propiedades en el men que
aparece.
2. En la ventana Conexiones de red haga lo mismo con la conexin vinculada a la red donde est ubicada la
pasarela.
3. En el dilogo siguiente seleccione la entrada Protocolo de Internet (TCP/IP) y haga clic sobre el botn
Propiedades.
4. En este dilogo Usted puede elegir marcar Obtener una direccin IP automticamente si tiene un servidor
DHCP en su red. Entonces, tambin debera configurarse automticamente la pasarela. De no ser as,
marque Usar la direccin IP siguiente y complete los campos asociados.

8.3. M
aquina Windows 95 o Windows 98

Figura 8-4. El icono de red bajo Windows 95/98


Comience por ir al Panel de Control (Inicio+ConfiguracinPanel de Control) y encuentre el icono de red que
se muestra. Haga doble clic sobre el mismo: aparecer el panel de configuracin de la red.

106

Captulo 8. Configuracin de los clientes enmascarados

Figura 8-5. El panel de configuracin de la red bajo Windows 95


En la lista que se muestra, debera encontrar un protocolo denominado TCP/IP. De no ser as, tendr que
consultar la documentacin de su sistema para encontrar la manera de instalarlo. Si ya est all, seleccinelo y
haga clic sobre Propiedades.

107

Captulo 8. Configuracin de los clientes enmascarados

Figura 8-6. El panel de configuracin TCP/IP bajo Windows 95


Esta ventana le permitir configurar sus parmetros TCP/IP. El administrador de su sistema le dir si Usted
tiene una direccin IP esttica o si est utilizando DHCP (direccin IP automtica) Haga clic sobre la solapa
Puerta de enlace.

Figura 8-7. El panel de configuracin de la pasarela bajo Windows 95


108

Captulo 8. Configuracin de los clientes enmascarados


El resto es un juego de nios! Complete los blancos con la direccin IP de su pasarela (en nuestro ejemplo es
192.168.0.1) Haga clic sobre el botn Agregar y luego sobre el botn Aceptar.
Deber reiniciar su computadora, por supuesto. Una vez que est hecho, debe fijarse si puede llegar al resto
del mundo.

8.4. M
aquina Windows NT o Windows 2000
Para configurar estos sistemas operativos siga estos pasos simples:
1. Vaya a Panel de Control+RedesProtocolo.

Figura 8-8. El panel de configuracin del protocolo bajo Windows NT/2000

2. Primero, seleccione Protocolo Internet (TCP/IP) en la lista de protocolos de red. Luego, haga clic sobre
el botn Propiedades y seleccione la tarjeta de red conectada a la red local (Figura 8-9) En este ejemplo,
mostramos una configuracin con el servidor DHCP activado en el servidor MandrakeSecurity : la opcin
Obtener una direccin IP automticamente est marcada.

109

Captulo 8. Configuracin de los clientes enmascarados

Figura 8-9. El panel de software de red bajo Windows NT/2000


Si este es su caso, slo necesita confirmar todas esas opciones y reiniciar. En caso contrario, debe seguir los
pasos siguientes.
3. Si no tiene un servidor DHCP, debe configurar a mano todos los parmetros. Comience marcando la
opcin Usar la siguiente direccin IP (Figura 8-10)

Figura 8-10. El panel de configuracin TCP/IP bajo Windows NT/2000


Seleccione el adaptador apropiado, la direccin IP ya debera ser la correcta.

110

Captulo 8. Configuracin de los clientes enmascarados


4. Simplemente complete el campo Puerta de enlace predeterminada con 192.168.0.1 (la direccin IP de la
mquina GNU/Linux que comparte la conexin en nuestro ejemplo)
5. Finalmente, deber especificar los servidores DNS que utiliza en la solapa DNS como se muestra en Figura
8-11.

Figura 8-11. El panel de configuracin de DNS bajo Windows NT/2000


Tambin debe proporcionar un nombre de host y un nombre de dominio asociado.

A menos que sepa exactamente lo que est


a haciendo, proceda con
sumo cuidado con los pasos siguientes:
deje el campo Configuracin DHCP automtica en blanco

a menos que tenga un servidor DHCP en alg


un lugar de su
red;
deje todos los campos WINS en blanco a menos que tenga

uno o m
as servidores WINS;
no coloque una marca en el campo Habilitar reenvo de IP

a menos que su m
aquina Windows se utilice para ruteo y,
una vez m
as, Usted sepa exactamente lo que est
a haciendo;
por favor deshabilite DNS para resolucin de nombres

Windows y Habilitar la bsqueda de LMHOSTS.

Haga clic sobre Aceptar en los cuadros de dilogo cuando aparezcan y vuelva a iniciar su computadora para
poner a prueba la configuracin.

111

Captulo 8. Configuracin de los clientes enmascarados

8.5. M
aquina DOS utilizando el paquete NCSA Telnet
En el directorio que contiene el paquete NCSA encontrar un archivo denominado config.tel. Debe editarlo
con su editor favorito y aadir las lneas siguientes:
name=default
host=nombre_de_su_host_linux hostip=192.168.0.1
gateway=1

Por supuesto, debe escribir el nombre de su mquina GNU/Linux en lugar de nombre_de_su_host_linux y


cambiar la direccin IP de la pasarela que se da como ejemplo (192.168.0.1) si es necesario.
Ahora, grabe el archivo e intente hacer telnet a su mquina GNU/Linux y luego, desde all, a algn lugar all
afuera...

8.6. Windows para Trabajo en Grupo 3.11


Ya debera estar instalado el paquete TCP/IP 32. Debe dirigirse a la entrada de men Principal+Configuracin
de Windows+Configuracin de redControladores y seleccionar Microsoft TCP/IP-32 3.11b en la seccin Controladores de red, luego hacer clic sobre Configurar.
A partir de aqu, el procedimiento es bastante similar al descripto en la seccin sobre Windows NT/2000 .

8.7. M
aquina MacOS
8.7.1. MacOS 8/9
Antes que nada debe abrir el Panel de Control TCP/IP como se muestra debajo en el men Apple.

112

Captulo 8. Configuracin de los clientes enmascarados

Figura 8-12. Accediendo al panel de control TCP/IP

8.7.1.1. Con una configuraci


on autom
atica por DHCP
Si configur su cortafuegos para que sea un servidor DHCP, siga este procedimiento tal cual, en caso contrario
vaya a la prxima seccin.

113

Captulo 8. Configuracin de los clientes enmascarados

Figura 8-13. Configuracin automtica del acceso a la Internet para MacOS


En el dilogo que aparece complete los campos como se muestra a partir de aqu:

Conectar por medio de: Ethernet;

Configurar: Utilizando servidor DHCP;

ID del cliente DHCP: 192.168.0.1.

8.7.1.2. Para una configuraci


on manual
Si no tiene un servidor DHCP en su red local, siga este procedimiento:

114

Captulo 8. Configuracin de los clientes enmascarados

Figura 8-14. Configuracin manual del acceso a la Internet para MacOS


En el dilogo que aparece complete los campos como se muestra aqu:

Conectar por medio de: Ethernet;

Configurar: Manualmente;

Direccin IP: 192.168.0.248;

Mscara de sub-red: 255.255.255.0;

Direccin del router: 192.168.0.1;

Direcciones de los servidores de nombres: 192.168.0.10; 192.168.0.11

Dominio de bsqueda: miempresa.com;

Las direcciones de los servidores de nombres pueden ser las direcciones de los DNS internos o las de los servidores de su Proveedor
de servicios de Internet.

8.7.2. MacTCP
1. En el Panel de control de MacTCP, seleccione el controlador de red Ethernet (cuidado, no es EtherTalk) y
luego haga clic sobre el botn Ms....
2. Bajo Direccin de la pasarela ingrese la direccin de la mquina GNU/Linux que comparte la conexin
(192.168.0.1 en nuestro ejemplo)
3. Haga clic sobre Aceptar para guardar los cambios. Puede tener que volver a iniciar su sistema para probar
estas configuraciones.

115

Captulo 8. Configuracin de los clientes enmascarados

8.8. M
aquina OS/2 Warp
El protocolo TCP/IP ya debera estar instalado. De no ser as, debe instalarlo.
1. Vaya a Programas, luego TCP/IP (LAN), luego Configuraciones de TCP/IP.
2. Bajo Ruteo, elija Aadir. En Tipo seleccione predeterminado.
3. Complete el campo Direccin del router con la direccin de su mquina GNU/Linux que comparte la conexin (192.168.0.1 en nuestro ejemplo)
4. Ahora cierre el panel de control TCP/IP, responda S a todas las preguntas, y luego vuelva a arrancar su
sistema antes de probar las configuraciones.

116

Captulo 9. Monitoreando el cortafuegos


Echaremos un vistazo a las herramientas de monitoreo disponibles para su sistema cortafuegos: grficas de
utilizacin de la red y del sistema y la herramienta ms potente a la hora de auditar un sistema: los registros
(logs) del sistema.

9.1. Utilizaci
on de la red y del sistema
La pantalla principal del grupo Monitoreo muestra el uptime del sistema cortafuegos (es decir, por cunto
tiempo ha estado corriendo el sistema sin haber sido reiniciado); la cantidad de usuarios conectados en ese
momento y los promedios de carga del sistema durante los ltimos 1, 5 y 15 minutos.

117

Captulo 9. Monitoreando el cortafuegos

9.1.1. Monitoreo de la utilizaci


on del sistema

Los dos grficos que se muestran aqu le informan acerca de la carga de su sistema. Son indicadores buenos de
cuan bien se est desempeando su sistema con la carga actual y se pueden utilizar para soportar decisiones
sobre la actualizacin de CPU/RAM.

avgload: representa la carga promedio de la CPU en las ltimas 24 horas. La unidad utilizada indica aproximadamente la cantidad de procesos que estn intentando acceder simultneamente a la CPU. Una carga
normal debera permanecer por debajo de 2. Si la carga est entre 2 y 5 su sistema est bastante ocupado.
Por encima de 6, debera considerar actualizar su CPU.

memusage: representa el uso de la memoria RAM principal (en Megabytes) Se utilizan colores diferentes
para dar informaciones ms precisas acerca de la forma en que se utiliza la memoria (RAM utilizada en
negro, RAM libre en verde, Swap - intercambio - en rojo, y cach en amarillo)

Predeterminadamente se muestra una grfica diaria. Si hace clic sobre el icono


a la izquierda de la
grfica se mostrarn las grficas diaria, semanal, mensual y anual todas en una nica pgina. Esto puede
resultar til para planificar la utilizacin del sistema. Haga clic sobre "Anterior" para volver a la grfica diaria.
Para actualizar las grficas haga clic sobre el botn "Refrescar".

118

Captulo 9. Monitoreando el cortafuegos


9.1.1.1. Monitoreo de la carga de la CPU

Aqu encontrar grficas del uso de la CPU con escalas de tiempo diferentes.

Se muestra la carga promedio de la CPU grficamente por Da, Semana, Mes y Ao todo en una sola pgina.
La unidad utilizada indica aproximadamente la cantidad de procesos que estn intentando acceder simultneamente a la CPU. Los valores normales estn por debajo de 2. Los valores por encima de 6 indican que
debera considerar actualizar su CPU.
Haga clic sobre el botn "Refrescar" para actualizar las grficas.
Haga clic sobre
Si hace clic sobre

para volver a la seccin Utilizacin del sistema.


se lo llevar de vuelta a la pgina predeterminada (de inicio).

9.1.1.2. Monitoreo del uso de la memoria

Aqu encontrar grficas de la utilizacin de la memoria RAM con escalas temporales diferentes.

Se muestra el uso de la memoria RAM (fsica) grficamente por Da, Semana, Mes y Ao todo en una misma
pgina. Se utilizan colores diferentes para brindar una informacin ms precisa acerca de la forma en la cual
se est utilizando la memoria (RAM usada en negro, RAM libre en verde, Swap - intercambio - en rojo, y cach
en amarillo)
Haga clic sobre el botn "Refrescar" para actualizar las grficas.
Haga clic sobre
Si hace clic sobre

para volver a la seccin Utilizacin del sistema.


se lo llevar de vuelta a la pgina predeterminada (de inicio)

119

Captulo 9. Monitoreando el cortafuegos

9.1.2. Monitoreo del tr


afico de red

Las grficas que se muestran aqu le informan acerca del trfico de red entrante/saliente sobre sus interfaces.

La primer pgina le muestra el trfico para todas las interfaces durante la ltima hora (de manera predeterminada) Las unidades utilizadas se ajustarn segn el trfico en cada interfaz, de forma tal que Usted puede
tener al trfico expresado en bytes/seg., Kbytes/seg., Mbytes/seg., etc.
En la parte superior de la pgina tiene una lista de las escalas de tiempo disponibles para las grficas: Horaria,
Diaria, Semanal, Mensual y Anual. Para cambiar la escala de tiempo, simplemente haga clic sobre el vnculo
correspondiente.
Cada grfica tambin le dice el trfico promedio y mximo entrante/saliente para las interfaces de red. El
trfico entrante se representa en verde y el saliente en gris oscuro.
Si hace clic sobre el icono
a la derecha de cada grfica (disponible slo en el modo Horaria) ser
llevado a las estadsticas de trfico sobre la interfaz correspondiente.
Para actualizar las grficas haga clic sobre el botn "Refrescar".
Por ejemplo, Usted podra utilizar las grficas que se muestran arriba para planificar los horarios de conexin
y el ancho de banda de su red.

120

Captulo 9. Monitoreando el cortafuegos

9.2. Registros
Los registros del sistema son una herramienta muy potente para auditar y analizar el desempeo del sistema.
Por supuesto, alguien (el administrador del sistema) los debe leer para que sean realmente tiles. Se registran
todos los eventos que ocurren en su sistema cortafuegos; puede acceder a los registros bajo la sub-seccin
Registros.

9.2.1. Registro de mensajes del sistema

El elemento Sistema le permite echar un vistazo al registro del sistema.

La tabla muestra todos los mensajes del sistema que se registran, por ejemplo: contraseas fallidas/aceptadas
para sshd, actualizaciones de NTP, ejecuciones de los scripts de mantenimiento del sistema, etc.
Las columnas de las tablas representan, respectivamente: en qu fecha y a qu hora; qu proceso; y qu mensaje
fue generado para cada evento registrado.
Haga clic sobre "Refrescar" para obtener las entradas ms recientes.

121

Captulo 9. Monitoreando el cortafuegos

9.2.2. Registros de autenticaci


on

El elemento Autenticacin le permite echar un vistazo al registro de autenticacin (relacionado con la seguridad) de su sistema.

La tabla describe los eventos registrados que estn relacionados con la autenticacin, por ejemplo, los cambios
de modo de archivo a los archivo de registro, los servicios que se arrancan/detienen, los intentos de conexin
fallidos en la consola y por medio de ssh, etc. Los servicios tpicos para este tipo de mensajes son:

msec: la herramienta de seguridad de Mandrake;

sshd: el demonio del shell seguro;

xinetd: reemplazo seguro para inetd, el demonio Internet;

Haga clic sobre "Refrescar" para obtener las entradas ms recientes.

122

Captulo 9. Monitoreando el cortafuegos

9.2.3. Registros del cortafuegos

El elemento Cortafuegos le permite echar un vistazo a los registros de filtrado de paquetes para su cortafuegos.

Aqu encontrar reportes para todas las cadenas del cortafuegos. Se pueden generar los reportes de acuerdo a
criterios diferentes:

todo y resolucin de nombres: muestra todos los detalles acerca de los paquetes, a saber: nmero de paquete;
inicio; lapso; protocolo; IP fuente, nombre del host y puerto; IP destino, nombre del host y puerto y las
opciones del paquete.

IP destino: muestra slo los detalles siguientes acerca de los paquetes: nmero de paquete; inicio; lapso e IP
destino.

IP fuente: muestra slo los detalles siguientes acerca de los paquetes: nmero de paquete; inicio; lapso e IP
fuente.

IP fuente y destino: muestra slo los detalles siguientes acerca de los paquetes: nmero de paquete; inicio;
lapso; IP fuente e IP destino.

con puerto de destino: muestra slo los detalles siguientes acerca de los paquetes: nmero de paquete; inicio;
lapso; IP fuente; IP y puerto de destino.

con puerto fuente: muestra slo los detalles siguientes acerca de los paquetes: nmero de paquete; inicio;
lapso; IP y puerto fuente; IP destino.

con puertos fuente y destino: muestra slo los detalles siguientes acerca de los paquetes: nmero de paquete;
inicio; lapso; IP y puerto fuente e IP y puerto de destino.

con opciones TCP: muestra los mismos detalles que "todo y resolucin de nombres" excepto los nombres de
host fuente y destino.

123

Captulo 9. Monitoreando el cortafuegos

Si hace clic sobre


a la izquierda de cada uno de los elementos de arriba le mostrar la ventana de
registro del cortafuegos correspondiente, por ejemplo:
Generated Mon Apr 15 11:16:09 ART 2002 by root.
5 of 456 items in the file "/var/log/messages" are packet logs, one has unique characteristics.
First packet log entry: Apr 15 10:53:26; last: Apr 15 10:53:26.
All entries where logged by the same host: "e500".
All entries are from the same chain: "Shorewall:fw2all:REJECT:".
All entries have the same target: "-".
All entries are from the same interface: "".
Only entries with a count larger than 2 are shown.

Luego del mensaje de arriba sigue una tabla con los detalles de los paquetes.

Estos registros pueden no estar disponibles de inmediato debido a


la actividad del sistema.

Haga clic sobre "Refrescar" para obtener las entradas ms recientes.

9.2.4. Registros de Prelude IDS

El elemento Prelude IDS le permite echar un vistazo a los registros de Prelude IDS (relacionados con la seguridad) para su sistema.

El Sistema de deteccin de intrusiones (IDS) Prelude reporta paquetes "anormales" (no esperados, sospechosos) que recibe su sistema y que estn dirigidos a su red. Tambin intenta evitar recibir ese tipo de ataques.
Si Prelude IDS no est activo en su sistema el reporte muestra algo como lo siguiente:
Reportes
vac
o Prelude IDS todav
a no fue activado

Si Prelude IDS est activo pero no se han intentado ataques sobre su sistema, el reporte muestra algo como lo
siguiente:
Reportes
vac
o No hay registro disponible!

Algunos registros pueden no estar disponibles de inmediato debido


a la actividad del sistema.

124

Captulo 9. Monitoreando el cortafuegos

Cuando estn disponibles los registros, puede hacer clic sobre


de registros de Prelude IDS.

para mostrar la ventana de resumen

Haga clic sobre "Refrescar" para obtener las entradas ms recientes.

9.2.5. Registros de Snort IDS

El elemento Snort IDS le permite echar un vistazo a los registros de Snort IDS (relacionados con la seguridad)
para su sistema.

El Sistema de deteccin de intrusiones (IDS) Snort analiza el trfico entrante en su red buscando coincidencias
contra reglas predefinidas y realiza acciones basadas en dichas reglas.
Si Snort IDS no est activo en su sistema el reporte muestra algo como lo siguiente:
Reportes
vac
o Snort IDS todav
a no fue activado

Si Snort IDS est activo pero no se han intentado ataques sobre su sistema, el reporte muestra algo como lo
siguiente:
Reportes
vac
o No hay registro disponible!

Algunos registros pueden no estar disponibles de inmediato debido


a la actividad del sistema.

Cuando estn disponibles los registros, puede hacer clic sobre


de registros de Snort IDS.

para mostrar la ventana de resumen

Haga clic sobre "Refrescar" para obtener las entradas ms recientes.


Debajo encontrar un ejemplo de reporte de Snort .

125

Captulo 9. Monitoreando el cortafuegos

Figura 9-1. Ejemplo de reporte de Snort

9.2.6. Registros del servidor proxy

El elemento Proxy web le permite echar un vistazo a los registros del servidor proxy Squid para su sistema.

Squid es un servidor proxy de almacenamiento intermedio de alto rendimiento para los clientes web que
soporta objetos de datos FTP, gopher y HTTP. Tambin recuerda las bsquedas DNS. Esto hace que el uso de
su ancho de banda de Internet sea ms eficiente a la vez que brinda clientes web ms "giles".
En esta pgina encontrar informacin de acceso, uso de recursos (memoria, espacio en disco) y errores de
configuracin para el servidor web proxy Squid.
Si el servidor proxy Squid no est activo en su sistema el reporte muestra algo como lo siguiente:
Reportes

126

Captulo 9. Monitoreando el cortafuegos


vac
o El servidor proxy todav
a no se activ
o

Si el servidor proxy est activo, pero no se registraron eventos, el reporte muestra algo como:
Lista vac
a...

Algunos registros pueden no estar disponibles de inmediato debido


a la actividad del sistema.

Cuando estn disponibles los registros, puede hacer clic sobre


de registros del Servidor Proxy.

para mostrar la ventana de resumen

Haga clic sobre "Refrescar" para obtener las entradas ms recientes.

9.2.7. Registros DHCP

El elemento DHCP le permite echar un vistazo al registro del servidor DHCP para su sistema.

Aqu se muestran los mensajes del servidor DHCP, asignaciones de IP a las interfaces, paquetes DHCP de los
clientes, y mensajes del tipo.
Si el servidor DHCP no est activo en su sistema, el reporte muestra algo como lo siguiente:
Reportes
vac
o Todav
a no se ha activado el servidor DHCP

Si el servidor DHCP est activo en su sistema, entonces si hace un clic sobre


se le mostrar una tabla
con la informacin de la sub-red DHCP. La tabla tiene las columnas siguientes: Ubicacin, Sub-red, Mscara
de sub-red, rango de IP, Router, IP definidas, IP utilizadas e IP libres.
Haga clic sobre "Refrescar" para obtener las entradas ms recientes.

127

Captulo 9. Monitoreando el cortafuegos

128

Captulo 10. Herramientas de administraci


on
Echaremos un vistazo a las herramientas de administracin disponibles para su sistema cortafuegos: Consola
remota, copia de respaldo/restauracin de la configuracin del cortafuegos y actualizaciones del software.

Figura 10-1. Pantalla principal de Herramientas


Cuando hace clic sobre el vnculo Herramientas se le presenta la pantalla que se muestra en Figura 10-1 donde
tiene un botn Apagar el cortafuegos. Si hace clic sobre ese botn el sistema cortafuegos se apagar, por lo
tanto todos los usuarios que dependen del mismo se quedarn, por ejemplo, sin conexin a la Internet. Utilice
este botn con sumo cuidado.

129

Captulo 10. Herramientas de administracin

10.1. Conexi
on remota utilizando SSH

Si hizo clic sobre la sub-seccin Conexin remota en la seccin Herramientas se le presentar una ventana que
est ejecutando una consola SSH que le permitir realizar algunas acciones como si Usted estuviera sentado
en la consola del sistema cortafuegos.

En el prompt, ingrese "admin" como login (sin las comillas) y luego la contrasea de admin:
firewall login:admin
admin@firewalls password: *********

Luego de una conexin exitosa, se le mostrar el shell y podr realizar tareas administrativas como si estuviera
sentado directamente frente a la mquina cortafuegos.

Tenga en cuenta que las acciones realizadas utilizando la consola


remota pueden hacer que sus modificaciones se pierdan. Si m
as
tarde decide volver a utilizar la interfaz web para modificar la configuraci
on, las modificaciones manuales hechas con la consola se
perder
an. Por lo tanto, debe asegurarse de utilizar la interfaz web
siempre que sea posible en vez de la conexi
on SSH para cambiar
los par
ametros de su sistema cortafuegos.

Finalmente, note que si Usted tiene un cliente SSH instalado en su mquina, puede conectarse al sistema
cortafuegos directamente y pasar por alto la interfaz web. Por favor, tenga presente que todava es vlida la
advertencia anterior en esta situacin.

130

Captulo 10. Herramientas de administracin

10.2. Respaldar y Restaurar

Esta caracterstica hace una copia de respaldo de toda la configuracin de su sistema cortafuegos permitindole recuperarlo con rapidez en caso de una falla mayor del sistema o volver a configurar con facilidad un
sistema cortafuegos nuevo basado en la configuracin que se respald.

Para crear una copia de respaldo de su archivo de configuracin, haga clic sobre el botn "Respaldar". Esto
realizar el respaldo y lo llevar a una pgina donde lo puede obtener. Por favor, consulte la ayuda de dicha
pgina para las instrucciones sobre como obtener la copia de respaldo.
Para restaurar la configuracin necesita "Elegir el archivo de configuracin" haciendo clic sobre el botn "Examinar...". Aparece una ventana que le permite seleccionar el archivo que contiene la configuracin respaldada.
Si sigui el procedimiento que se describe en la pgina de ayuda de la copia de respaldo, este debera ser
"/mnt/floppy/ConfigurationBackup" (sin las comillas). Si no guard sus copias de respaldo en disquetes,
entonces es aconsejable que las copie a disquete regularmente y almacene los disquetes en un lugar seguro.

Esta copia de respaldo s


olo contendr
a los par
ametros que maneja la
interfaz web. Si ha hecho modificaciones a algunos par
ametros de
configuraci
on utilizando otros medios, ej: la herramienta de Conexi
on remota o una conexi
on directa a traves de SSH, deber
a realizar
manualmente la copia de respaldo de esas modificaciones (archivos)
especficas.

Elija el archivo de configuracin

/mnt/floppy/ConfigurationBackup

Cuando est listo, haga clic sobre el botn "Subir". Se lo llevar a una pgina de confirmacin para aplicar/modificar/cancelar los cambios. Por favor, consulte la pgina de ayuda correspondiente para ms detalles.
Debajo tiene una pantalla de ejemplo de la seccin de Restauracin completada con el nombre de archivo del
archivo de configuracin respaldado a restaurar en su sistema cortafuegos.
131

Captulo 10. Herramientas de administracin

Figura 10-2. Pantalla de restauracin de ejemplo


Una vez que hizo clic sobre el botn Enviar, se le presenta una pantalla de confirmacin, como la que se
muestra en Figura 10-3; haga clic sobre el botn Aplicar para aplicar la configuracin a su sistema cortafuegos.

Figura 10-3. Aplicar la configuracin del archivo restaurado

10.2.1. Recuperando la configuraci


on respaldada

Aqu puede almacenar la configuracin de su cortafuegos en un disquete (u otro soporte removible)

132

Captulo 10. Herramientas de administracin


Luego de haber hecho clic sobre el botn "Respaldar" en la pgina anterior se le proporciona un vnculo (denominado "Archivo de respaldo") para que pueda recuperar la configuracin respaldada. Por favor, proceda
de la manera siguiente (se asume que desea almacenar su configuracin en un disquete):

Inserte un disquete vaco en su disquetera.

Haga un clic derecho (dependiendo de su navegador web, puede ser que necesite presionar "Mays" mientras hace clic con el botn izquierdo de su ratn) sobre el vnculo "Archivo de respaldo" y seleccione la
opcin "Descargar vnculo" (otra vez, esto puede diferir para su navegador web...)

Cuando se le pida el nombre del archivo, ingrese "/mnt/floppy/ConfigurationBackup" (sin las comillas)
Puede cambiar ConfigurationBackup por otro nombre si lo desea/necesita.

Acepte y grbelo.

Luego de realizar los pasos anteriores la configuracin de su cortafuegos estar en el disquete. Qutelo de
la disquetera, protjalo contra escritura y almacnelo en un lugar seguro. Luego haga clic sobre el botn
para volver a la pgina Respaldar/Restaurar.
Al hacer clic sobre

volver a la pgina predeterminada (de inicio).

10.3. Actualizar el software

Este asistente le permite realizar actualizaciones de todos los paquetes instalados en su sistema. Por razones
de seguridad, es esencial que Usted verifique regularmente si existen actualizaciones del software.

Sitio de rplica actual

ftp://ftp-linux.cc.gatech.edu/pub/linux/distributions/

Esto muestra el sitio de rplica seleccionado en este momento para obtener las actualizaciones de software.
Modificar el tipo de sitio de
rplica

Sitio de rplica registrado

Tiene que elegir entre tres tipos de sitios de rplica diferentes:

Sitio de rplica registrado: esta opcin le dar acceso al sitio de actualizaciondes dedicado a MandrakeSecurity. Contiene actualizaciones para la distribucin Linux regular en la que se basa MandrakeSecurity, pero
tambin paquetes especficos de MandrakeSecurity, as como tambin mdulos opcionales.

Sitio de rplica oficial: en la pgina siguiente se le brinda una lista de todos los sitios de rplica oficiales de
Mandrake Linux. Es altamente recomendable que elija uno de estos como sitio de rplica.

Sitio de rplica personal: en la pgina siguiente podr ingresar manualmente la URL del sitio que contiene
las actualizaciones para su sistema.

133

Captulo 10. Herramientas de administracin


Realice su seleccin y haga clic sobre
para continuar con el paso siguiente. Por favor, consulte la
pgina de ayuda del paso siguiente para ms detalles.
Si hace clic sobre

134

volver a la pgina predeterminada (de inicio) cancelando este asistente.

Temas de redes y seguridad


Hasta ahora, en este manual ha estado leyendo informacin muy prctica. Usted debera poder configurar su
servidor de manera eficiente y estar conforme con el mismo.
Sin embargo, todo eso es slo una pequea parte de las posibilidades de su sistema Mandrake Linux. Para poder comprenderlo por completo, elegimos aadir dos captulos para completar su conocimiento sobre
Mandrake Linux:

Seguridad bajo GNU/Linux, pgina 137: este captulo es de lectura obligatoria para cualquier administrador
de sistemas. Incluso si Usted puede hacer que su sistema Mandrake Linux sea bastante seguro con las
herramientas predeterminadas, slo se puede alcanzar una seguridad eficiente a travs de la administracin
activa, cuidando tanto la seguridad global fsica como lgica del sistema;

Generalidades sobre redes, pgina 177: se supone que un servidor brinda servicios a una red. Este manual hubiera estado incompleto sin un captulo dedicado a las redes. Se trata la configuracin de la red propiamente
dicha as como los diferentes protocolos.

136

Captulo 11. Seguridad bajo GNU/Linux


Este documento es una revisin general de los temas de seguridad con los que se enfrenta el administrador de
sistemas GNU/Linux . El mismo cubre la filosofa general de la seguridad y una cantidad especfica de ejemplos
sobre como asegurar mejor a su sistema GNU/Linux contra los intrusos. Tambin se incluyen referencias a
materiales y programas relacionados con la seguridad.

1. El documento original (ver debajo) ha sido adaptado a la


distribuci
on Mandrake Linux quitando partes, cambiando otras, etc.

11.1. Pre
ambulo
Este captulo est basado en un COMO por Kevin Fenzi y Dave Wreski cuyo original se encuentra en el Proyecto
de documentacin de Linux (http://www.tldp.org)

11.1.1. Informaci
on de Copyright
Copyright (c) 1998 - 2002 Kevin Fenzi y Dave Wreski
Modificaciones de la v1.3.1, 11 de febrero de 2002, (C)opyright 2000-2002 MandrakeSoft

11.1.2. Introducci
on
Este captulo cubre algunos temas que afectan la seguridad en GNU/Linux . Se discute la filosofa general y los
recursos nacidos de la red.
Muchos otros documentos COMO se solapan con los temas de seguridad y se ha hecho referencia a dichos
documentos donde era apropiado.
No es la intencin de este captulo ser un documento actualizado de las explotaciones de la seguridad. Sucede
un gran nmero de explotaciones nuevas todo el tiempo. Este captulo le dir dnde debe buscar informacin
actualizada al respecto, y le brindar algunos mtodos generales para evitar que dichas explotaciones ocurran.

11.2. Generalidades
Este captulo intentar explicar algunos procedimientos y software utilizados comnmente para ayudar a su
sistema GNU/Linux a ser ms seguro. Es importante discutir primero algunos de los conceptos bsicos, y crear
los fundamentos de la seguridad antes de comenzar.

11.2.1. Por qu
e necesitamos a la seguridad?
En el mundo en constante cambio de las comunicaciones globales, las comunicaciones baratas con la Internet, y el desarrollo de software a un ritmo rpido, la seguridad se est volviendo, cada vez ms, un tema a
tener presente. Ahora, la seguridad es una necesidad bsica porque la computacin global es inherentemente
insegura. Mientras sus datos van desde el punto A al punto B en la Internet, por ejemplo, pueden pasar por
varios otros puntos en el camino, dndole a otros usuarios la oportunidad de interceptar, e incluso alterar, esos
datos. Incluso otros usuarios en su sistema pueden transformar maliciosamente sus datos en algo que Usted
no tena intencin de que se transformasen. Los intrusos, conocidos tambin como crackers, pueden obtener
un acceso no autorizado a su sistema, y luego usar conocimientos avanzados para hacerse pasar por Usted,
robarle informacin, o incluso negarle a Usted el acceso a sus propios recursos. Si se est preguntando cual es
la diferencia entre un Hacker y un Cracker, vea el documento de Eric Raymond, How to Become A Hacker (Cmo convertirse en un hacker), disponible en http://www.netaxs.com/~esr/faqs/hacker-howto.html
(http://www.netaxs.com/~esr/faqs/hacker-howto.html).

137

Captulo 11. Seguridad bajo GNU/Linux

11.2.2. Cuan seguro es Seguro?


Primero, tenga presente que no hay sistema de computadoras que pueda ser jams completamente seguro.
Todo lo que Usted puede hacer es volver incrementalmente difcil para alguien el hecho de comprometer a su
sistema. Para el sistema GNU/Linux casero promedio, no se necesita mucho para mantener a raya al cracker
casual. Sin embargo, para los usuarios de GNU/Linux de perfil alto (bancos, compaas de telecomunicaciones,
etc), se necesita mucho ms trabajo.
Otro factor a tener en cuenta es que cuanto ms seguro es su sistema, ms intrusiva se vuelve su seguridad.
Usted debe decidir en qu punto de este acto de balance su sistema todava ser utilizable, y todava seguro
para sus propsitos. Por ejemplo, puede requerir que todos los que ingresen por conexin telefnica a su
sistema usen un mdem con call-back para llamarlos a ellos al nmero de sus casas. Esto es ms seguro, pero
se les dificultar el ingreso al sistema a aquellos que no se encuentren en su casa. Tambin puede configurar
su sistema GNU/Linux sin conexin de red o conexin a la Internet alguna, pero esto limita su utilidad.
Si est en un sitio mediano a grande, debera establecer una poltica de seguridad que diga cuanta seguridad
necesita su sitio y que auditora se hace en el sitio para verificar esa poltica. Puede encontrar un ejemplo bien
conocido de poltica de seguridad en faqs.org (http://www.faqs.org/rfcs/rfc2196.html). Ha sido actualizado recientemente, y contiene una gran base de trabajo para establecer una poltica de seguridad para su
compaa.

11.2.3. Qu
e est
a tratando proteger?
Antes de intentar asegurar su sistema, debera determinar cul es el nivel de amenaza del que se tiene que
proteger, qu riesgos debera o no debera tomar, y cuan vulnerable es su sistema como resultado de esas
determinaciones. Usted debera analizar su sistema para saber qu es lo que est protegiendo, por qu lo est
protegiendo, qu valor tiene, y quin tiene la responsabilidad sobre sus datos y otras pertenencias.

Riesgo es la posibilidad de que un intruso pueda tener xito en el intento de acceder a su computadora.
Puede un intruso leer o escribir archivos, o ejecutar programas que puedan causar dao? Puede borrar
datos crticos? Puede evitar que Usted o su compaa hagan trabajos importantes? No lo olvide: alguien
que gane acceso a su cuenta o a su sistema, tambin puede hacerse pasar por Usted.
Adicionalmente, el hecho de tener una cuenta insegura en su sistema puede resultar en que toda su red est
comprometida. Si permite que un solo usuario ingrese usando un archivo .rhosts, o que use un servicio
inseguro, tal como tftp, se arriesga a que un intruso ponga un pie en la puerta. Una vez que el intruso
tiene una cuenta de usuario en su sistema, o en el sistema de otra persona, puede usar dicha cuenta para
ganar acceso a otro sistema, u otra cuenta.

Amenaza es tpicamente de alguien con motivacin para ganar acceso no autorizado a su red o computadora. Usted debe decidir a quienes confa el acceso a su sistema, y qu amenazas pueden presentar.
Hay varios tipos de intrusos, y es til tener presentes las diferentes caractersticas de los mismos cuando
Usted est asegurando sus sistemas.

El Curioso Este tipo de intruso est interesado bsicamente en encontrar qu tipo de sistema y qu tipo
de datos tiene Usted.

El Malicioso Este tipo de intruso tiene como objetivo ya sea hacer caer a sus sistemas, o modificar su
pgina web, u obligarlo de alguna otra manera a gastar tiempo y dinero recuperndose del dao que l
le ha causado.

El Intruso de Perfil Alto Este tipo de intruso est intentando usar a su sistema para ganar popularidad
e infamia. Puede ser que use su sistema de perfil alto para hacer alarde de sus habilidades.

La Competencia Este tipo de intruso est interesado en los datos que Usted tiene en su sistema. Podra
ser alguien que piensa que Usted tiene algo que lo pueda beneficiar, ya sea financieramente o de alguna
otra forma.

Los Ladrones Este tipo de intruso est interesado en plantar campamento en su sistema y usar los
recursos del mismo para sus propsitos. Tpicamente l correr servidores de chat o IRC, archivos de
sitios porno, o incluso servidores DNS.

138

Captulo 11. Seguridad bajo GNU/Linux

El Saltador de Escalones Este tipo de intruso slo est interesado en su sistema para usarlo como medio
para entrar en otros sistemas. Si su sistema est bien conectado o es una pasarela a una cantidad de hosts
internos, bien puede ver este a este tipo de intruso intentado comprometer a su sistema.

Vulnerabilidad describe cuan bien protegida de otras redes est su computadora, y el potencial de que
alguien gane acceso no autorizado.
Qu es lo que est en juego si alguien irrumpe en su sistema? Por supuesto que los temores de un usuario
hogareo de PPP dinmico sern diferentes a los de una compaa que conecta sus mquinas a la Internet,
u otra red grande.
Cuanto tiempo tomara recuperar/recrear cualquier dato (o datos) que se haya(n) perdido? Una inversin
en tiempo ahora puede ahorrar diez veces ms tiempo luego si tiene que recrear los datos que se perdieron.
Ha verificado ltimamente su estrategia de copia de respaldo, y verificado sus datos?

11.2.4. Desarrollando una poltica de seguridad


Debe crear una poltica simple, genrica, para su sistema, que sus usuarios puedan comprender y seguir fcilmente. Debera proteger los datos que est salvaguardando as como tambin la privacidad de los usuarios.
Algunas otras cosas que hay que considerar son: quin tiene acceso al sistema (Puede mi amigo usar mi cuenta?), a quin se le permite instalar software en el sistema, quin es el dueo de cuales datos, recuperacin en
caso de desastre, y uso apropiado del sistema.
Una poltica de seguridad generalmente aceptada comienza con la frase
Aquello que no est permitido, est prohibido
Esto significa que a menos que Usted garantice a un usuario el acceso a un servicio, ese usuario no debera
estar usando ese servicio hasta que Usted haga efectiva la garanta de acceso. Asegrese que las polticas
funcionan en su cuenta de usuario no privilegiado. Decir, Ah, No puedo darme cuenta de este problema de
permisos, simplemente lo har como root puede conducir a huecos en la seguridad que son muy obvios, e
incluso a algunos que todava no han sido explotados.
rfc1244 (http://www.faqs.org/rfcs/rfc1244.html) es un documento que describe como crear su propia
poltica de seguridad de la red.
rfc1281 (http://www.faqs.org/rfcs/rfc1281.html) es un documento que muestra un ejemplo de poltica de
seguridad con descripciones detalladas de cada paso.
Finalmente, podra querer mirar el archivo de polticas COAST (ftp://coast.cs.purdue.edu/pub/doc/
policy) para ver como lucen algunas polticas de seguridad de la vida real.

11.2.5. Formas de asegurar su sitio


Esta seccin discutir distintas formas con las cuales Usted puede asegurar las cosas por las que trabaj duro:
su mquina local, sus datos, sus usuarios, su red, e incluso su reputacin Qu le pasara a su reputacin si un
intruso borrase algunos de los datos de sus usuarios? O le cambiase la cara a su sitio web? O publicase el
plan de proyecto corporativo de su compaa para el prximo trimestre? Si est planeando una instalacin en
red, hay muchos factores que debe tomar en cuenta antes de agregar la primer mquina a su red.
Incluso si tiene una nica cuenta de conexin telefnica tipo PPP, o simplemente un sitio pequeo, esto no
significa que los intrusos no van a estar interesados en su sistema. Los sitios grandes, de perfil alto, no son los
nicos blancos muchos intrusos simplemente quieren explotar tantos sitios como sea posible, sin importar
el tamao de los mismos. Adicionalmente, ellos pueden usar un hueco de seguridad en su sistema para ganar
acceso a otros sitios con los que Usted est conectado.
Los intrusos tienen un montn de tiempo disponible, y pueden evitar adivinar como Usted ha obscurecido a
su sistema simplemente intentando todas las posibilidades. Tambin hay un nmero de razones por las que
un intruso puede estar interesado en sus sistemas, las cuales discutiremos luego.

139

Captulo 11. Seguridad bajo GNU/Linux


11.2.5.1. Seguridad del host
Tal vez el rea de la seguridad sobre la cual se concentran ms los administradores es la seguridad basada
en el host. Tpicamente, esto incluye asegurarse de que su propio sistema sea seguro, y esperar que todos
los dems en su red hagan lo mismo. Escoger contraseas buenas, asegurar los servicios de red locales de
su host, mantener buenos registros de contadura, y actualizar los programas con explotaciones de seguridad
conocidas son algunas de las cosas que el administrador de seguridad de la red tiene la responsabilidad de
hacer. Aunque esto es absolutamente necesario, puede convertirse en una tarea ardua una vez que su red se
hace ms grande que unas pocas mquinas.

11.2.5.2. Seguridad de la red local


La seguridad de la red es tan necesaria como la seguridad del host local. Con cientos, miles, o ms computadoras en la misma red, Usted no puede confiar en que cada uno de esos sistemas sean seguros. Asegurar que slo
los usuarios autorizados pueden usar su red, construir cortafuegos, usar cifrado fuerte, y asegurarse de que
no hay mquinas bribonas (es decir, inseguras) en su red son todas partes de las tareas del administrador
de la seguridad de la red.
Este documento discutir algunas de las tcnicas que se usan para asegurar su sitio, y con suerte, le mostrar
algunas de las formas de evitar que un intruso gane acceso a lo que Usted est intentando proteger.

11.2.5.3. La seguridad por medio de la obscuridad


Un tipo de seguridad que se debe discutir es la denominada seguridad por medio de la obscuridad. Esto
significa, por ejemplo, mover un servicio que tiene vulnerabilidades de seguridad conocidas a un puerto no
estndar con la esperanza de que los atacantes no se darn cuenta de que est all y por lo tanto no lo explotarn. D por sentado que ellos pueden determinar que est all y lo explotarn. La seguridad por medio de la
obscuridad no es seguridad alguna. El slo hecho de que Usted pueda tener un sitio pequeo, o de un perfil
relativamente bajo, no significa que un intruso no va a estar interesado en lo que Usted tiene. Discutiremos
que es lo que Usted est protegiendo en las secciones siguientes.

11.2.6. Organizaci
on de este captulo
Este captulo ha sido dividido en una cantidad de secciones. Estas cubren varios temas amplios de la seguridad. La primera, Seguridad fsica, pgina 140, cubre como necesita proteger su mquina fsicamente de los
intentos de manipularla. La segunda, Seguridad local, pgina 145, describe como proteger su sistema de los
intentos de manipulacin de los usuarios locales. La tercera, Seguridad de los archivos y del sistema de archivos,
pgina 147, le muestra como configurar los sistemas de archivos y los permisos sobre sus archivos. La siguiente, Seguridad con contraseas y cifrado, pgina 152, discute como usar el cifrado para proteger mejor su
mquina y su red. Seguridad del ncleo, pgina 158 discute qu opciones del ncleo debera activar o conocer
para hacer a un sistema ms seguro. Seguridad de la red, pgina 161, describe como asegurar mejor a su sistema
GNU/Linux frente a los ataques de la red. Preparacin para la seguridad (antes que Usted vaya en lnea), pgina 168,
discute como preparar su(s) mquina(s) antes de ponerlas en lnea. Luego, Qu hacer durante y despus de un
irrupcin, pgina 170, discute qu hacer cuando Usted detecta que se est comprometiendo su sistema o que
se ha comprometido recientemente. En Fuentes sobre seguridad, pgina 172, se enumeran algunos recursos de
seguridad primarios. La seccin sobre P y R, Preguntas formuladas con frecuencia (FAQ), pgina 174, contesta
algunas preguntas frecuentes, y finalmente en Conclusin, pgina 175 se da una conclusin.
Los dos puntos principales a tener en cuenta cuando se lee este captulo son:

mantngase enterado de lo que ocurre en su sistema. Verifique los registros del sistema como /var/log/
messages y mantenga un ojo sobre su sistema, y

mantenga su sistema actualizado asegurndose que tiene instaladas las versiones ms recientes del software
y las ha actualizado en base a las advertencias de seguridad. El slo hecho de hacer esto ayudar a hacer a
su sistema muchsimo ms seguro.

140

Captulo 11. Seguridad bajo GNU/Linux

11.3. Seguridad fsica


La primer capa de seguridad que tiene que tener en cuenta es la seguridad fsica de sus sistemas de computacin Quienes tienen acceso fsico directo a su mquina? Deberan tenerlo? Puede proteger a su mquina de
los intentos de manipulacin? Debera hacerlo?
La cantidad de seguridad fsica que necesita sobre su sistema depende mucho de su situacin, y/o de su
presupuesto.
Si Usted es un usuario hogareo, probablemente no necesitar un montn (aunque podra necesitar proteger a
su mquina de la manipulacin por parte de los chicos o de parientes molestos) Si Usted est en un laboratorio,
necesitar considerablemente ms, pero los usuarios todava tendrn que poder hacer sus trabajos en sus
mquinas. Muchas de las secciones siguientes le sern de ayuda. Si Usted est en una oficina, podra o no
necesitar asegurar su mquina despus de hora para cuando Usted no est all. En algunas compaas, el
dejar su consola no asegurada es una ofensa terminal.
Los mtodos de seguridad fsica obvios tales como candados en las puertas y cables, gabinetes cerrados con
candados, y vigilancia por vdeo son todas ideas buenas, pero estn ms all del alcance de este captulo. :-)

11.3.1. Candados de computadora


Muchos gabinetes de PC modernos incluyen una caracterstica de cerradura. Usualmente esta ser un zcalo en el frente del gabinete que le permite girar una llave incluida a una posicin de trabado o destrabado.
Las cerraduras del gabinete pueden ayudar a evitar que alguien le robe su PC, o abra el gabinete y directamente manipule o robe su hardware. Algunas veces, tambin pueden evitar que alguien vuelva a arrancar su
computadora desde su propio disquete u otro hardware.
Estas cerraduras del gabinete hacen cosas diferentes de acuerdo al soporte en la placa madre y como est
construido el gabinete. En muchas PCs las hacen de tal manera que Usted tenga que romper el gabinete para
poder abrirlo. En algunas otras, no le permitirn conectar teclados o ratones nuevos. Verifique las instrucciones
de su placa madre o gabinete para mayor informacin. Algunas veces, esto puede ser una caracterstica muy
til, incluso si las cerraduras son, por lo general, de calidad muy baja y puedan ser violadas fcilmente por
atacantes con las herramientas adecuadas.
Algunas mquinas (notablemente las SPARCs y las Mac) tienen un apndice en la parte trasera que, si Usted
pone un cable atravesado, los atacantes tendran que cortar el cable o romper el gabinete para poder entrar.
Simplemente poniendo un candado o una cerradura mltiple a travs de estos puede ser un buen factor
disuasivo para alguien que se robe su mquina.

11.3.2. Seguridad del BIOS


El BIOS es el nivel de software ms bajo que configura o manipula su hardware basado en x86 . grub y otros
mtodos de arranque de GNU/Linux acceden al BIOS para determinar como arrancar su mquina GNU/Linux .
Otro hardware sobre el cual corre GNU/Linux tiene software similar (OpenFirmware en las Mac y las Sun
nuevas, Sun boot PROM, etc...) Usted puede usar su BIOS para evitar que los atacantes reinicien su mquina
y manipulen su sistema GNU/Linux .
Muchos BIOS de PC le permiten configurar una contrasea de arranque. Esto no proporciona mucha seguridad (el BIOS se puede reconfigurar, o quitar si alguien puede entrar al gabinete), pero puede ser un buen
disuasivo (es decir, tomar tiempo y dejar rastros de manipulacin) Similarmente, en S/Linux (GNU/Linux
para mquinas con procesadores SPARC (tm)), se puede configurar su EEPROM para que solicite una contrasea de arranque. Esto podra demorar a los atacantes.
Otro riesgo de confiar en las contraseas del BIOS para hacer ms seguro a su sistema es el problema de la
contrasea predeterminada. La mayora de los fabricantes de BIOS no esperan que las personas abran sus
computadoras y desconecten las bateras si se olvidan la contrasea y han provisto a sus BIOS con contraseas predeterminadas que funcionan sin importar la contrasea que Usted haya elegido. Algunas de las
contraseas ms comunes incluyen:
j262 AWARD_SW AWARD_PW lkwpeter Biostar AMI Award
bios BIOS setup cmos AMI!SW1 AMI?SW1 password hewittrand shift + s y
x z

141

Captulo 11. Seguridad bajo GNU/Linux


He probado un BIOS Award y AWARD_PW funcion. Estas contraseas estn disponibles con bastante facilidad
en los sitios web de los fabricantes y en astalavista (http://astalavista.box.sk) y por lo tanto no se puede
considerar que la contrasea del BIOS es una proteccin adecuada frente a un atacante informado.
Muchos BIOS de x86 tambin le permitirn especificar varias otras configuraciones buenas de seguridad.
Verifique el manual de su BIOS o mrelo la prxima vez que arranque. Por ejemplo, algunos BIOS no permiten
arrancar desde la disquetera y algunos solicitan contraseas para acceder a algunas de las caractersticas del
BIOS .

Si Usted tiene una m


aquina servidor, y configura una contrase
na de
arranque, su m
aquina no arrancar
a sin su asistencia. Tenga presente
que necesitar
a allegarse a ella y proporcionar la contrase
na en caso
de un corte de energa. ;(

11.3.3. Seguridad de OpenBoot


La PROM es el software de ms bajo nivel que configura o manipula su hardware basado en SPARC. SILO
y otros mtodos de arranque de GNU/Linux acceden a la PROM para determinar como arrancar su mquina
GNU/Linux . Otro hardware sobre el cual corre GNU/Linux tiene software similar (OpenFirmware en las Macs y
las Sun nuevas), el BIOS de las x86 , etc...) Usted puede utilizar su PROM para evitar que los atacantes reinicien
su mquina y manipulen su sistema GNU/Linux .
OpenBoot es mucho ms avanzado que el BIOS de una PC en lo que respecta a la seguridad (consulte Gua
de Instalacin sobre como acceder y usar a OpenBoot )
1.

Es importante configurar su contrase


na antes de configurar el modo
de seguridad, ya que Usted no podra configurarla m
as. Es m
as,
SUN sostiene que Usted necesita contactar con el soporte tecnico a
clientes de su vendedor para hacer que su m
aquina pueda arrancar
otra vez.

Este es un ejemplo de interaccin sobre como configurar su contrasea de arranque:1


> password
> New password (only first 8 chars are used):
> Retype new password:
>

2. Puede elegir entre tres niveles de seguridad configurando la variable security-mode:


a. Full (completa): todos los comandos, excepto go, necesitan la contrasea.
b. Command (comando): todos los comandos, excepto boot y go, necesitan la contrasea.
c. None (ninguno): no se necesita contrasea (predeterminado)
Este es un ejemplo de interaccin sobre cmo configurar su modo de seguridad:
> setenv security-mode full
>

Si tiene una m
aquina servidor, y configura una contrase
na de arranque, su m
aquina no arrancar
a sin su asistencia. Tenga presente que
necesitar
a allegarse a ella y proporcionar la contrase
na en caso de
un corte de energa. ;(

1.

142

Nota del traductor: No traduje el ejemplo, ya que es muy probable que Usted lo use en ingls.

Captulo 11. Seguridad bajo GNU/Linux

11.3.4. Seguridad del cargador de arranque


Tenga presente que cuando configura todas estas contraseas Usted debe recordarlas :-) Tambin recuerde que
todas estas contraseas slo retrasarn al atacante con determinacin. Las mismas no evitarn que alguien
arranque desde un disquete, y monte su particin raz.
Si est usando la seguridad en conjuncin con un cargador de arranque, tambin podra deshabilitar el arranque desde un disquete en el BIOS de su computadora, y proteger al BIOS con una contrasea.
Tambin tenga presente que el archivo /etc/lilo.conf debera tener modo 600 (slo root lo puede leer y
escribir), o los dems podrn leer sus contraseas de arranque!
Si est usando la seguridad en conjuncin con un cargador de arranque, tambin podra proteger con una
contrasea al PROM .

Una vez m
as, si tiene una m
aquina servidor, y configura una contrase
na de arranque, su m
aquina no arrancar
a sin su asistencia. Tenga
presente que necesitar
a allegarse a ella y proporcionar la contrase
na
en caso de un corte de energa. ;(

11.3.4.1. Con GRUB


Tambin se puede configurar una contrasea en los distintos cargadores de arranque de GNU/Linux . grub es
bastante flexible en ese sentido: su archivo de configuracin predeterminado /boot/grub/menu.lst puede
contener una lnea permitiendo la carga de un nuevo archivo de configuracin con opciones diferentes (este
nuevo archivo puede contener una nueva contrasea para acceder a un tercer archivo de configuracin y as
sucesivamente)
Entonces tiene que agregar un lnea en su archivo /boot/grub/menu.lst, que se parezca a lo siguiente:
password muy_secreta
/boot/grub/menu2.lst

y, por supuesto, generar un archivo de configuracin nuevo /boot/grub/menu2.lst en el cual Usted mueve
las entradas inseguras quitadas previamente de /boot/grub/menu.lst.
>De la pgina Info de grub:
- Comando: password contrase~
na
nuevo-archivo-de-configuraci
on Deshabilitar todo el control de edici
on
interactivo (el editor de de entradas del men
u y la l
nea de
comandos). Si se ingresa la contrase~
na PASSWD, el mismo carga
NEW-CONFIG-FILE como un archivo de configuraci
on nuevo y vuelve a
arrancar a GRUB Stage 2.

11.3.4.2. Con LILO


LILO tiene las configuraciones password y restricted; password solicita una contrasea al arrancar, mientras
que restricted solicita una contrasea al arrancar slo si Usted especifica opciones (tales como single) en el
prompt LILO.
>De la pgina Man de lilo.conf:
password=contrase~
na
La opci
on por imagen password=... (ver debajo)
se aplica a todas las im
agenes.
restricted
La opci
on por imagen restricted (ver debajo)
se aplica a todas las im
agenes.
password=contrase~
na
Protege la imagen con una contrase~
na.
restricted

143

Captulo 11. Seguridad bajo GNU/Linux


S
olo se solicita una contrase~
na para arrancar la imagen
si se especifican par
ametros en la l
nea de comandos
(por ej. single).

11.3.4.3. Con SILO


El cargador de arranque SILO tambin puede tener una contrasea: password solicita una contrasea al arrancar, mientras que restricted solicita una contrasea al arrancar slo si Usted especifica opciones (tales como
single) en el prompt SILO.
>De la pgina Man de silo.conf:
password=contrase~
na
Proteje el arranque con una contrase~
na. La
contrase~
na se da de manera textual en el archivo de
configuraci
on. Debido a esto, s
olo el super-usuario
(root) deber
a poder leer dicho archivo de
configuraci
on, y la contrase~
na deber
a ser lo m
as diferente
posible de otras contrase~
nas del sistema.
restricted
S
olo se necesita una contrase~
na para arrancar la imagen
especificada en /etc/silo.conf si se especifican par
ametros en
la l
nea de comandos o si no se especifica imagen en absoluto en
el archivo de configuraci
on (ej: carga arbitraria de archivo).

11.3.5. xlock y vlock


Si Usted se aleja de su mquina de vez en cuando, sera bueno poder trabar su consola de forma tal que
ninguno pueda manipular o mirar su trabajo. Dos programas que hacen esto son: xlock y vlock.
xlock es un traba pantallas para X . Usted puede ejecutar xlock desde cualquier xterm en su consola y este
trabar la pantalla y le solicitar una contrasea para destrabarla. La mayora de los entornos de escritorio
tambin proponen esta caracterstica en sus respectivos mens.
vlock es un pequeo programa simple que le permite trabar alguna o todas las consolas virtuales de su sistema
GNU/Linux . Usted puede trabar slo aquella consola en la cual est trabajando o todas ellas. Si slo traba una,
pueden venir otros y usar la consola; simplemente no podrn usar su consola virtual hasta que Usted no la
destrabe.
Por supuesto que trabar su consola evitar que alguien manipule su trabajo, pero no evitar que alguien
reinicie su mquina o interrumpa su trabajo de alguna otra manera. Tampoco evita que ellos accedan a su
mquina desde otra mquina en la red y causen problemas.
Ms importante an, no evita que alguien salga de X Window System por completo, y vaya a la invitacin
de conexin normal de una consola virtual, o la consola virtual desde la que se inici X Window System , y la
suspenda, obteniendo por lo tanto sus privilegios. Por esta razn, debera considerar usarla slo mientras est
bajo control de KDM (u otros)

11.3.6. Seguridad de los dispositivos locales


Si Usted tiene una webcam o un micrfono conectado a su sistema, debera considerar si hay algn peligro de
que un atacante gane acceso a dichos dispositivos. Cuando no estn en uso, puede ser una opcin desconectar
o quitar ese tipo de dispositivos. Si no, debera leer y observar con cuidado cualquier software que permita
acceso a tales dispositivos.

144

Captulo 11. Seguridad bajo GNU/Linux

11.3.7. Detectando los compromisos de seguridad fsicos


La primer cosa a notar siempre, es cuando su mquina ha sido reiniciada. Debido a que GNU/Linux es un
sistema operativo robusto y estable, los nicos momentos en los cuales debera reiniciar su mquina es cuando
Usted la apaga para actualizaciones del sistema operativo, cambio de hardware, o cosas por el estilo. Si su
mquina ha sido reiniciada sin que Usted lo haya hecho, ese puede ser un signo de que un intruso la ha
comprometido. En muchas de las formas en las cuales su mquina puede ser comprometida es necesario que
el intruso la reinicie o la apague.
Busque signos de manipulacin del gabinete y el rea de la computadora. Aunque muchos intrusos borran los
rastros de su presencia de los registros, es una buena idea verificarlos a todos y notar cualquier discrepancia.
Tambin es una buena idea almacenar los datos de los registros en una ubicacin segura tal como un servidor
de registro dedicado dentro de su red bien protegida. Una vez que una mquina ha sido comprometida, los
datos del registro se vuelven poco tiles ya que lo ms probable es que tambin hayan sido modificados por
el intruso.
El demonio syslog puede configurarse para enviar los datos de registro a un servidor syslog central automticamente, pero tpicamente esto no se enva cifrado, permitindole a un intruso ver los datos mientras se
estn transfiriendo. Esto puede revelar informacin sobre su red que se pretenda no sea pblica. Hay demonios syslog disponibles que cifran los datos mientras estos se envan.
Tambin tenga presente que es fcil falsificar los mensajes de syslog hay un programa que explota esto que
ha sido publicado. syslog incluso acepta entradas de registro de red que dicen que vienen del host local sin
indicar su origen verdadero.
Algunas cosas a verificar en sus registros:

Registros cortos o incompletos.

Registros que contienen marcas horarias (timestamps) extraas.

Registros con permisos o dueos incorrectos.

Registros de reinicio o re-arranque de los servicios.

Registros desaparecidos.

Entradas su o conexiones desde lugares extraos.

En Mantenga registro de los datos de contabilidad de su sistema, pgina 169 discutiremos los datos del registro del
sistema.

11.4. Seguridad local


La prxima cosa a revisar es la seguridad de su sistema frente a los ataques de los usuarios locales. Dijimos
recin usuarios locales? S!
Obtener acceso a la cuenta de un usuario local es una de las primeras cosas que los intrusos del sistema
intentarn en su camino a explotar la cuenta de root. Con una seguridad local dbil, entonces ellos pueden
mejorar su acceso de usuario normal a acceso de root usando una variedad de errores y configuraciones
pobres de los servicios locales. Si Usted se asegura de que su seguridad local es rgida, entonces el intruso
tendr que saltar otro obstculo.
Los usuarios locales tambin pueden causar un montn de problemas en su sistema incluso (especialmente)
si ellos realmente son quienes dicen ser. Proporcionar cuentas a gente que Usted no conoce o de los cuales no
tiene informacin de contacto alguna es una idea muy mala.

11.4.1. Creando cuentas nuevas


Debera asegurarse de proveer cuentas de usuario slo con las necesidades mnimas para hacer la tarea que
dichos usuarios necesitan hacer. Si Usted le proporciona una cuenta a su hijo (de 10 aos), probablemente
quisiera que l solo tenga acceso al procesador de textos o al programa de dibujo, pero que no pueda borrar
datos que no sean de l.

145

Captulo 11. Seguridad bajo GNU/Linux


A continuacin tiene varias reglas generales buenas cuando le permite a otras personas acceso legtimo a su
mquina GNU/Linux :

Brndeles la mnima cantidad de privilegios que ellos necesitan.

Est alerta de cuando y de donde se conectan, o se deberan conectar.

Debe asegurarse de quitar las cuentas inactivas. Estas se pueden determinar utilizando el comando last
y/o verificando en los archivos de registro cualquier actividad del usuario.

Se aconseja el uso del mismo userid en todas las computadoras y redes, para facilitar el mantenimiento de
las cuentas y permitir un anlisis ms fcil de los datos del registro.

Debera prohibirse en absoluto la creacin de user-ids de grupo. Las cuentas de usuario tambin proveen
la contabilidad, y esto no es posible con cuentas grupales.

Muchas cuentas de usuario locales que se usan cuando se compromete a la seguridad no se han usado en
meses o en aos. Dado que nadie las usa, estas proporcionan el vehculo de ataque ideal.

11.4.2. Seguridad de root


La cuenta de su sistema ms perseguida es la cuenta root (super-usuario) Esta cuenta tiene autoridad sobre
toda la mquina, lo cual tambin puede incluir autoridad sobre otras mquinas de la red. Recuerde que Usted
slo debera usar la cuenta root para tareas especficas muy cortas, y normalmente Usted debera ejecutar
como un usuario no privilegiado. Incluso errores pequeos hechos mientras estaba conectado como el usuario
root pueden causar problemas. Mientras menos est con privilegios de root, ms seguro estar.
A continuacin tiene varios trucos para evitar arruinar su propia mquina cuando la utiliza como root:

Cuando haga algn comando complejo, primero intente correrlo de manera no destructiva... especialmente
los comandos que usan englobamiento: por ej., si Usted desea hacer rm -f pepe*.bak, primero haga ls
pepe*.bak y asegrese de borrar los archivos que Usted cree que va a borrar. Algunas veces tambin sirve
usar echo en vez de comandos destructivos.

Slo vulvase root para hacer tareas especficas simples. Si se encuentra intentando averiguar como hacer
algo, vuelva a un shell de usuario no privilegiado hasta estar seguro que eso debe hacerse como root.

La ruta de comandos para el usuario root es muy importante. La ruta de comandos (es decir, la variable
de entorno PATH) especifica los directorios en los cuales el shell busca programas. Intente limitar la ruta
de comandos para el usuario root tanto como sea posible, y nunca incluya . (que significa el directorio
corriente) en el PATH de root. Adems, nunca tenga directorios en los que se pueda escribir en su ruta de
bsqueda, ya que esto permite a los atacantes poner binarios nuevos en su ruta de bsqueda, permitindoles
a estos ejecutar como root la prxima vez que Usted ejecute ese comando.

Nunca utilice el conjunto de herramientas rlogin/rsh/rexec (denominadas los utilitarios-r) como root.
Estos estn sujetos a muchas clases de ataques, y son especialmente peligrosos cuando se ejecutan como
root. Nunca cree un archivo .rhosts para root.

El archivo /etc/securetty contiene una lista de las terminales desde las cuales se puede conectar root.
Predeterminadamente este slo est configurado a las consolas virtuales locales (ttys) Tenga mucho cuidado
en agregar algo ms a este archivo. Usted debera poder conectarse remotamente con su cuenta de usuario
no privilegiado y luego hacer su si Usted lo necesita (con suerte sobre ssh u otro canal cifrado), por lo que
no hay necesidad de tener que poder conectarse directamente como root.

Siempre sea lento y deliberado cuando ejecute como root. Sus acciones pueden afectar un montn de cosas
Piense antes de teclear!

Si necesita de forma absolutamente positiva permitirle a alguien (con suerte, alguien de mucha confianza)
tener acceso como root a su mquina, hay una cantidad de herramientas que pueden ayudar. sudo le permite
a los usuarios usar su clave para acceder como root a un conjunto de comandos limitados. Por ejemplo, esto
le permitir dejar que un usuario pueda expulsar y montar medios removibles en su sistema GNU/Linux , pero
no tenga otros privilegios de root. sudo tambin mantiene un registro de todos los intentos satisfactorios y no
satisfactorios de hacer sudo, permitindole seguirle la pista a quienes usaron cuales comandos para hacer qu
146

Captulo 11. Seguridad bajo GNU/Linux


cosas. Por este motivo, sudo funciona bien incluso en lugares donde varias personas tienen acceso como root,
porque le ayuda a seguirle la pista a los cambios hechos.
Aunque sudo se puede usar para dar privilegios especficos a usuarios especficos, para tareas especficas, tiene
varias contra. Slo debera usarse para un conjunto limitado de tareas, como reiniciar un servidor, o agregar
usuarios nuevos. Cualquier programa que ofrezca un escape al shell dar acceso de root a un usuario que
lo invoque a travs de sudo. Por ejemplo, esto incluye a la mayora de los editores. Tambin, un programa tan
inocuo como /bin/cat se puede usar para sobreescribir archivos, lo cual permitira explotar a root. Considere
a sudo como un medio para la contabilidad, y no espere que reemplace al usuario root y todava sea seguro.

11.5. Seguridad de los archivos y del sistema de archivos


Algunos minutos de preparacin y planificacin antes de poner a sus sistemas en lnea puede ayudar a protegerlos as como tambin a los datos que dichos sistemas almacenan.

No debera haber razn alguna para que los directorios personales de los usuarios permitan que se ejecuten
programas SUID/SGID desde los mismos. Use la opcin nosuid en /etc/fstab para las particiones en las
que pueda escribir otro que no sea root. Tambin puede querer usar nodev y noexec en las particiones de
los directorios personales de los usuarios, as como tambin /var, prohibiendo de esta forma la ejecucin de
programas, y la creacin de dispositivos de bloque o caracter, los cuales, de todas formas, nunca deberan
ser necesarios.

Si est exportando sistemas de archivos usando NFS, debe asegurarse de configurar /etc/exports con el
acceso lo ms restrictivo posible, Esto significa no usar comodines, no permitir acceso de escritura como
root, y exportar como slo de lectura siempre que se pueda.

Configure la umask de creacin de archivos de sus usuarios para ser lo ms restrictiva posible. Consulte
Configuraciones de la umask, pgina 148.

Si est montando sistemas de archivos usando un sistema de archivos de red tal como NFS, debe asegurarse
de configurar /etc/exports con restricciones adecuadas. Tpicamente, es deseable el uso de nodev, nosuid,
y tal vez noexec.

Configure los lmites del sistema de archivos en vez de permitir que unlimited sea la configuracin predeterminada. Usted puede controlar los lmites por usuario usando el mdulo PAM de limitador de recursos y
/etc/pam.d/limits.conf. Por ejemplo, los lmites para el grupo usuarios podran parecerse a los siguientes:
@users
@users
@users

hard
hard
hard

core
nproc
rss

0
50
5000

Esto dice de prohibir la creacin de archivos core, restringir la cantidad de procesos a 50, y restringir el uso
de memoria por usuario a 5MB.
Tambin puede utilizar el archivo de configuracin /etc/login.defs para ajustar los mismos lmites.

Los archivos /var/log/wtmp y /var/run/utmp contienen los registros de conexin para todos los usuarios
en su sistema. Se debe mantener su integridad porque ellos pueden usarse para determinar cuando y desde donde ha entrado a su sistema un usuario (o intruso potencial) Estos archivos tambin deberan tener
permisos 644, sin afectar la operacin normal del sistema.

Se puede utilizar el bit de inmutable para evitar el borrado o la sobre-escritura accidental de un archivo que
se debe proteger. Tambin evita que alguien cree un vnculo simblico al archivo (tales vnculos simblicos
han sido la fuente de ataques que incluan borrar /etc/passwd o /etc/shadow) Vea la pgina Man de chattr
para ms informacin sobre el bit inmutable.

Los archivos suid y SGID en su sistema son un riesgo de seguridad potencial, y deberan ser monitoreados
de cerca. Debido a que estos programas garantizan privilegios especiales al usuario que los est ejecutando,
es necesario asegurarse que no se instalan programas inseguros. Un truco favorito de los crackers es explotar
los programas SUID-root, luego dejar un programa SUID como la puerta trasera para ingresar la prxima
vez, incluso si el hueco original est cerrado.

147

Captulo 11. Seguridad bajo GNU/Linux


Encuentre todos los programas SUID/SGID en su sistema, y mantenga un registro de cuales son, para
estar alerta de cualquier cambio que pudiera indicar a un intruso potencial. Use el comando siguiente para
encontrar todos los programas SUID/SGID en su sistema:
root#

find / -type f \( -perm -04000 -o -perm -02000 \)

Puede quitar los permisos suid o SGID de un programa sospechoso con chmod, y luego restaurarlos si Usted
siente que esto es absolutamente necesario.

Los archivos que pueden escribir todo el mundo, particularmente los archivos del sistema, pueden ser un
hueco de seguridad si un cracker gana acceso a su sistema y los modifica. Adicionalmente, los directorios
que pueden escribir todo el mundo son peligrosos, ya que estos permiten a un cracker agregar y borrar
archivos a su gusto. Para localizar a todos los archivos que pueden escribir todo el mundo en su sistema,
use el comando siguiente:
root# find / -perm -2 ! -type l -ls

y asegrese de saber por qu estos archivos se pueden escribir. En el curso normal de operacin, varios
archivos se podrn escribir por todo el mundo, incluyendo algunos de /dev, y vnculos simblicos, es por
esto el ! -type l lo que excluye estos del comando find previo.

Los archivos sin dueo tambin pueden ser una indicacin de que un intruso ha accedido a su sistema.
Puede ubicar los archivos de su sistema que no tienen dueo, o que no pertenecen a grupo alguno con el
comando:
root# find / -nouser -o -nogroup -print

Encontrar los archivos .rhosts debera ser una parte de sus tareas regulares de administracin del sistema,
debido a que no deberan permitirse dichos archivos en su sistema. Recuerde, un cracker, slo necesita
una cuenta insegura para ganar acceso potencial a toda su red. Usted puede localizar a todos los archivos
.rhosts en su sistema con el comando siguiente:
root# find /home -name .rhosts -print

Finalmente, antes de cambiar los permisos sobre cualquier archivo de sistema, debe asegurarse de entender
lo que est haciendo. Nunca cambie los permisos sobre un archivo porque esto parece la forma fcil de hacer
que funcionen las cosas. Siempre determine por qu el archivo tiene esos permisos antes de cambiarlos.

11.5.1. Configuraciones de la umask


El comando umask se puede usar para determinar el modo de creacin de archivo predeterminado en su
sistema. Este es el complemento octal del modo de archivo deseado. Si los archivos se crean sin importar las
configuraciones de sus permisos, el usuario puede, sin advertirlo, dar permiso de lectura o escritura a alguien
que no debera tener estos permisos. Tpicamente, las configuraciones de umask incluyen a 022, 027, y 077 (que
es la ms restrictiva). Normalmente la umask se configura en el archivo /etc/profile, por lo que este aplica a
todos los usuarios del sistema. La mscara de creacin de archivo se puede calcular restando el valor deseado
de 777. En otras palabras, una umask de 777 causara que los archivos nuevos creados no contengan permisos
de lectura, escritura o ejecucin para cualquiera. Una umask de 666 causara que los archivos nuevos creados
tengan una mscara de 111. Por ejemplo, Usted puede tener una lnea que se parezca a la siguiente:
# Set the users default umask
umask 033

Asegrese de hacer la umask de root 077, lo cual deshabilitar los permisos de lectura, escritura y ejecucin
para los otros usuarios, a menos que se cambien explcitamente usando chmod. En este caso, los directorios
148

Captulo 11. Seguridad bajo GNU/Linux


nuevos creados tendran permisos 744, obtenidos de restar 033 de 777. Los archivos nuevos creados usando la
umask 033 tendran permisos 644.

En Mandrake Linux, s
olo es necesario usar 002 para un umask.
Esto se debe al hecho que la configuraci
on predeterminada es un
usuario por grupo.

11.5.2. Permisos sobre los archivos


Es importante asegurar que los archivos de su sistema no son abiertos para edicin casual por usuarios y
grupos que no deberan estar haciendo tal mantenimiento del sistema.
UNIX separa el control de acceso sobre los archivos y directorios de acuerdo a tres caractersticas: dueo, grupo,
y otros. Siempre hay exactamente un dueo, cualquier nmero de miembros del grupo, y todos los dems.
Una explicacin rpida sobre los permisos de UNIX :
Propiedad Cul(es) usuario(s) y grupo(s) retiene(n) control de la configuracin de los permisos del nodo y
el padre del nodo
Permisos Bits que se pueden activar o desactivar para permitir ciertos tipos de acceso al mismo. Los permisos
sobre los directorios pueden tener un significado ligeramente distinto que el mismo conjunto de permisos
sobre los archivos.
Lectura:

Poder ver el contenido de un archivo

Poder leer un directorio

Escritura:

Poder agregar contenido o cambiar un archivo

Poder borrar o mover archivos en un directorio

Ejecucin:

Poder correr un programa binario o un script del shell

Poder buscar en un directorio, combinado con el permiso de lectura

Guardar atributo de texto: (Para los directorios)


El bit pegajoso tambin tiene un significado diferente cuando se aplica a los directorios que cuando se
aplica a los archivos. Si el bit pegajoso se activa sobre un directorio, entonces un usuario slo puede borrar
archivos que l posee o para los cuales l tiene garantizado explcitamente el permiso de escritura, incluso
cuando l tiene acceso de escritura al directorio. Esto est diseado para directorios como /tmp, donde
cualquiera puede escribir, pero donde no sera deseable permitir a cualquier usuario borrar los archivos
a su gusto. El bit pegajoso se ve como una t en un listado largo de directorio.

Atributo suid : (Para los archivos)


Este describe a los permisos set user id (activar id del usuario) sobre el archivo. Cuando se configura el modo de acceso set-user-id en los permisos del dueo, y el archivo es ejecutable, los procesos que lo corren
tienen garantizado el acceso a los recursos del sistema basados en el usuario que es propietario del archivo, en vez de el usuario que cre el proceso. Esta es la causa de muchas explotaciones de desbordamiento
de buffer.
149

Captulo 11. Seguridad bajo GNU/Linux


Atributo SGID: (Para los archivos)
Si est activo en los permisos del grupo, este bit controla el estado set group id (activar id del grupo) de
un archivo. Esto se comporta de la misma manera que suid , excepto que en vez del usuario se afecta al
grupo. El archivo debe ser ejecutable para que esto tenga efecto alguno.

Atributo SGID: (Para los directorios)


Si activa el bit SGID en un directorio (con chmod g+s directorio), los archivos creados en dicho directorio tendrn su grupo configurado como el grupo dueo del directorio.
Usted El dueo del archivo
Grupo El grupo al cual pertenece
Todos Cualquiera en el sistema que no es el dueo ni miembro del grupo dueo
Ejemplo de archivo:
-rw-r--r-- 1 reina usuarios
114 Ago 28 1997 .zlogin
1er bit - directorio?
(no)
2do bit - lectura por due~
no?
(s
, por reina)
3er bit - escritura por due~
no?
(s
, por reina)
4to bit - ejecuci
on por due~
no?
(no)
5to bit - lectura por grupo?
(s
, por usuarios)
6to bit - escritura por grupo?
(no)
7mo bit - ejecuci
on por grupo?
(no)
8vo bit - lectura por todos?
(s
, por todos)
9no bit - escritura por todos?
(no)
10mo bit - ejecuci
on por todos? (no)

Las lneas siguientes son ejemplos de los conjuntos mnimos de permisos que se necesitan para realizar el
acceso descripto. Usted puede querer dar ms permisos que los que se listan aqu, pero esto debera describir
qu es lo que hacen estos permisos mnimos sobre los archivos:
-r-------- Permite acceso de lectura al archivo por el due~
no
--w------- Permite al due~
no modificar o borrar el archivo (Note que cualquiera con permiso de escritura en el directorio en el cual se encuentra el archivo lo puede sobreescribir y borrarlo)
---x------ El due~
no puede ejecutar este programa, pero no scripts del shell que todav
a necesitan permisos de lectura
---s------ Ejecutar
a con ID de Usuario efectivo = al due~
no
--------s- Ejecutar
a con ID de Grupo efectiva = al grupo
-rw------T No se actualiza la "
ultima hora de modificaci
on". Generalmente usado para los archivos de swap .
---t------ Sin efecto. (Antes era el bit pegajoso)

Ejemplo de directorio:
drwxr-xr-x 3 reina ususarios
512 Sep 19 13:47 .public_html/
1er bit - directorio?
(s
, contiene muchos archivos)
2do bit - lectura por due~
no?
(s
, por reina)
3er bit - escritura por due~
no? (s
, por reina)
4to bit - ejecuci
on por due~
no? (s
, por reina)
5to bit - lectura por grupo?
(s
, por usuarios)
6to bit - escritura por grupo? (no)
7mo bit - ejecuci
on por grupo? (s
, por usuarios)
8vo bit - lectura por todos?
(s
, por todos)
9no bit - escritura por todos? (no)
10mo bit - ejecuci
on por todos? (s
, por todos)

Las lneas siguientes son ejemplos de los conjuntos mnimos de permisos que se necesitan para realizar el
acceso descripto. Usted puede querer dar ms permisos que los que se listan, pero esto debera describir qu
es lo que hacen estos permisos mnimos sobre los directorios:
dr--------

150

Se puede listar el contenido, pero no se pueden leer los atributos de los archivos

Captulo 11. Seguridad bajo GNU/Linux


d--x------ Se puede ingresar al directorio, y usarse en rutas de ejecuci
on completas
dr-x------ El due~
no puede leer los atributos de los archivos
d-wx------ Se pueden crear/borrar archivos, incluso si el directorio no es el directorio corriente
d------x-t Evita que otros borren los archivos con acceso de escritura. Se usa en /tmp
d---s--s-- Sin efecto

Los archivos de configuracin del sistema (usualmente en /etc) por lo general tienen modo 640 (-rw-r----), y su dueo es root. Dependiendo de los requisitos de seguridad de su sitio, Usted podra ajustar esto.
Nunca deje que un grupo o cualquiera pueda escribir algn archivo del sistema. Slo root debera poder leer
algunos archivos de configuracin, incluyendo /etc/shadow, y los directorios en /etc al menos no deberan
ser accesibles por otros.
Scripts suid del shell
Los scripts suid del shell son un riesgo de seguridad serio, y por esta razn el ncleo no los honrar.
Sin importar cuan seguro piense que es el script del shell , este puede ser explotado para dar a un cracker
un shell de root.

11.5.3. Verificaci
on de integridad
Otra manera muy buena de detectar ataques locales (y tambin de la red) en su sistema es correr un verificador de integridad como Tripwire , Aide u Osiris . Estos verificadores de integridad corren verificaciones
numricas sobre todos sus binarios y archivos de configuracin importantes y los comparan contra una base
de datos de valores previos de referencia bien conocidos. De esta forma, se marcar cualquier cambio en los
archivos.
Es una buena idea instalar este tipo de programas en un disquete, y luego activar fsicamente la proteccin
contra escritura del disquete. De esta forma, los intrusos no pueden manipular al verificador de integridad en
s mismo o cambiar la base de datos. Una vez que tiene algo de esto configurado, es una buena idea correrlo
como parte de sus tareas normales de administracin de seguridad para ver si cambi algo.
Incluso puede agregar una entrada crontab para correr el verificador desde su disquetera cada noche y enviarle a Usted los resultados por correo en la maana. Algo como:
# configurar mailto
MAILTO=reina
# run Tripwire
15 05 * * * root /usr/local/adm/tcheck/tripwire

le enviar un reporte por correo electrnico cada maana a las 5:15 hs.
Los verificadores de integridad pueden ser un regalo divino para detectar a los intrusos antes de que Usted
se de cuenta de que estn. Debido a que, en el sistema promedio, cambian un montn de archivos, tiene que
tener cuidado para poder diferenciar entre la actividad del cracker y la suya propia.
Puede encontrar la versin sin soporte disponible libremente, de Tripwire en TripWire (http://www.
tripwire.org) sin cargo. Se pueden comprar los manuales y soporte.
Aide se puede encontrar en el sitio web de Aide (http://www.cs.tut.fi/~rammer/aide.html).
Osiris se puede encontrar en el sitio web de Osiris (http://osiris.shmoo.com/).

151

Captulo 11. Seguridad bajo GNU/Linux

11.5.4. Caballos de Troya


Los Caballos de Troya o Troyanos se denominan as por la legendaria estrategia en la Ilada de Homero.
La idea es que un cracker distribuye un programa o binario que parece fantstico, y alienta a otras personas
a que lo bajen y lo corran como root. Luego, el programa puede comprometer sus sistemas mientras ellos no
estn prestando atencin. Mientras ellos creen que el binario que acaban de bajar hace una cosa (y es muy
probable que realmente la haga, y muy bien), tambin compromete su seguridad.
Usted debera tener cuidado de cuales programas instala en su mquina. MandrakeSoft provee sumas verificadoras MD5 y firmas PGP de sus archivos RPM para que Usted pueda verificar que est instalando la cosa
verdadera. Nunca debera correr cualquier binario que no le es familiar, del cual Usted no tiene el cdigo
fuente, como root! Pocos atacantes estn dispuestos a liberar el cdigo fuente para el escrutinio pblico.
Aunque puede ser complejo, asegrese que Usted est obteniendo el cdigo fuente de un programa de su
sitio de distribucin real. Si se va a correr el programa como root, asegrese de que Usted o alguien de su
confianza haya visto y verificado el cdigo fuente.

11.6. Seguridad con contrase


nas y cifrado
Muchos de los programas de cifrado descriptos en este captulo
est
an disponibles en su distribuci
on Mandrake Linux.

Una de las caractersticas de seguridad ms importantes en uso hoy da son las contraseas. Es importante que
tanto Usted como sus usuarios tengan contraseas seguras, imposibles de adivinar. Su distribucin Mandrake
Linux incluye al programa passwd que no le permite configurar una contrasea fcil de adivinar. Asegrese
que su programa passwd est actualizado.
La discusin a fondo del cifrado est ms all del alcance de este captulo, pero aqu se da una introduccin.
El cifrado es muy til, posiblemente incluso hasta necesario en este tiempo y poca. Hay todo tipo de mtodos
para cifrar los datos, cada uno con su conjunto de caractersticas propio.
Primariamente, la mayora de los sistemas UNIX (y GNU/Linux no es una excepcin) usan un algoritmo de
cifrado de una va, denominado DES (Data Encryption Standard, Estndar de cifrado de datos) para cifrar sus
contraseas. Luego, esta contrasea cifrada se almacena en /etc/shadow. Cuando Usted intenta conectarse,
la contrasea que ingresa se vuelve a cifrar y se compara con la entrada en el archivo que almacena sus
contraseas. Si estas coinciden, debe ser la misma contrasea, y se le permite el acceso. Aunque DES es un
algoritmo de cifrado de dos vas (dadas las claves adecuadas, Usted puede codificar y luego decodificar un
mensaje), la variante que usan la mayora de los sistemas UNIX es de una va. Esto significa que no debera ser
posible invertir el cifrado para obtener la contrasea a partir del contenido de /etc/shadow.
Los ataques de fuerza bruta, tales como Crack o John the Ripper (consulte Crack y John the Ripper,
pgina 156) por lo general pueden adivinar las contraseas a menos que su contrasea sea lo suficientemente
aleatoria. Los mdulos PAM (ver abajo) le permiten usar una rutina de cifrado diferente para sus contraseas
(MD5 o similares) Usted tambin puede usar Crack para su provecho. Considere correr Crack peridicamente
sobre su propia base de datos de contraseas para encontrar contraseas inseguras. Luego contacte al usuario
que tenga una de estas contraseas, y dgale que la cambie.
Puede dirigirse a CERN (http://consult.cern.ch/writeup/security/security_3.html) para informacin
(en ingls) sobre como elegir una contrasea buena.

11.6.1. PGP y criptografa de clave p


ublica
La criptografa de clave pblica, como la que usa PGP, usa una clave para el cifrado, y otra clave para el
descifrado. Sin embargo, la criptografa tradicional, usa la misma clave para el cifrado como para el descifrado;
ambas partes deben conocer esta clave, y por lo tanto la misma debe ser transferida de alguna manera de uno
a otro de forma segura.
Para aliviar la necesidad de transmitir de forma segura la clave de cifrado, la criptografa de clave pblica usa
dos claves separadas: una clave pblica y una clave privada. La clave pblica de cada persona est disponible
para que cualquiera haga el cifrado, mientras que al mismo tiempo cada persona mantiene su clave privada
para descifrar los mensajes cifrados con la clave pblica correcta.

152

Captulo 11. Seguridad bajo GNU/Linux


Hay varias ventajas tanto para la criptografa de clave pblica como para la de clave privada, y puede leer
acerca de las mismas y sus diferencias en las preguntas formuladas frecuentemente sobre criptografa de RSA
(http://www.rsasecurity.com/rsalabs/faq/), (en ingls) listadas al final de esta seccin.
PGP (Pretty Good Privacy, Privacidad bastante buena) est bien soportado en GNU/Linux . Se sabe que las versiones 2.6.2 y 5.0 funcionan bien. Para un buen compendio sobre PGP y como usarlo, eche un vistazo a las
preguntas formuladas frecuentemente sobre PGP en faqs.org (http://www.faqs.org/faqs/pgp-faq/) (en ingls)
Debe asegurarse de usar la versin que se aplica a su pas. Debido a las restricciones de exportacin del
Gobierno de Estados Unidos, est prohibida la transferencia electrnica de cifrado fuerte fuera del pas.
Los controles de exportacin de EE.UU. ahora estn administrados por EAR (Export Administration Regulations,
Regulaciones de la Administracin de exportaciones) Ya no estn gobernadas por ITAR.
Tambin hay una gua paso a paso para configurar PGP en GNU/Linux disponible en LinuxFocus (http:
//mercury.chem.pitt.edu/~angel/LinuxFocus/English/November1997/article7.html). Fue escrita para
la versin internacional de PGP , pero es fcilmente adaptable a la versin para Estados Unidos. Puede ser
que Usted tambin necesite un parche para algunas de las ltimas versiones de GNU/Linux ; el mismo est
disponible en MetaLab (ftp://metalab.unc.edu/pub/Linux/apps/crypto).
Hay un proyecto que est manteniendo una re-implementacin libre de PGP con cdigo abierto. GnuPG es un
reemplazo completo y libre para PGP . Debido a que no utiliza IDEA o RSA se puede utilizar sin restriccin
alguna. GnuPG cumple con OpenPGP (http://www.faqs.org/rfcs/rfc2440.html). Consulte la pgina web
de GNU Privacy Guard (http://www.gnupg.org) para ms informacin.
Se puede encontrar ms informacin sobre criptografa en las preguntas formuladas frecuentemente sobre
criptografa de RSA (http://www.rsasecurity.com/rsalabs/faq/). All encontrar informacin sobre trminos tales como Diffie-Hellman, criptografa de clave pblica, certificados digitales, etc.

11.6.2. SSL, S-HTTP y S/MIME


Con frecuencia los usuarios preguntan sobre las diferencias entre los distintos protocolos de seguridad y cifrado, y como usarlos. A pesar de que este no es un documento sobre cifrado, es una buena idea explicar
brevemente en que consiste cada protocolo, y donde encontrar ms informacin.

SSL: - SSL, o Secure Sockets Layer (Capa de sockets segura), es un mtodo de cifrado desarrollado por
Netscape para proporcionar seguridad en Internet. Soporta varios protocolos de cifrado diferentes, y provee autenticacin de cliente y servidor. SSL opera en la capa de transporte, crea un canal seguro de datos cifrados, y por lo tanto puede cifrar datos de muchos tipos de manera transparente. Esto se ve ms
comnmente cuando se va a un sitio seguro para ver un documento seguro en-lnea con Communicator , y sirve como la base para las comunicaciones seguras con Communicator , as como tambin como muchos otros cifrados de datos de Netscape Communications. Se puede encontrar ms informacin
en OpenSSL.org (http://www.openssl.org) (en ingls) Un buen punto de partida para informacin sobre otras implementaciones de seguridad de Netscape y estos protocolos est disponible en Netscape
(http://home.netscape.com/info/security-doc.html). Tambin vale la pena notar que el protocolo SSL
se puede utilizar para pasar muchos otros protocolos comunes, envolvindolos para brindar seguridad.
Consulte el sitio web Quiltaholic (http://www.quiltaholic.com/rickk/sslwrap/)

S-HTTP: - S-HTTP es otro protocolo que proporciona servicios de seguridad a travs de Internet. Fue diseado para proporcionar confidencialidad, autenticacin, integridad, y no repudio [uno no puede ser tomado
por cualquier otra persona] a la vez que soporta mecanismos de administracin de claves y algoritmos
criptogrficos mltiples por medio de la negociacin de opciones entre las partes involucradas en cada
transaccin. S-HTTP est limitado al software especfico que est implementndolo, y cifra cada mensaje
individualmente. [ De las preguntas formuladas frecuentemente sobre criptografa de RSA, pgina 138]

S/MIME: - S/MIME, o Secure Multipurpose Internet Mail Extensions (Extensiones multipropsito de correo de
Internet seguras), es un estndar de cifrado usado para cifrar el correo electrnico y otros tipos de mensajes
en Internet. Es un estndar abierto desarrollado por RSA, por lo que es muy probable que lo veamos pronto
en GNU/Linux uno de estos das. Se puede encontrar ms informacin sobre S/MIME en RFC2311 (http:
//www.ietf.org/rfc/rfc2311.txt).

153

Captulo 11. Seguridad bajo GNU/Linux

11.6.3. Implementaciones de IPSEC


Junto con CIPE, y otras formas de cifrado de datos, tambin hay varias otras implementaciones de IPSEC
para GNU/Linux . IPSEC es un esfuerzo del grupo IETF para crear comunicaciones criptogrficamente seguras al nivel de red IP, y brindar autenticacin, integridad, control de acceso, y confidencialidad. Se puede
encontrar informacin sobre IPSEC y el borrador Internet en IETF (http://www.ietf.org/html.charters/
ipsec-charter.html). Tambin puede encontrar vnculos a otros protocolos en los que participe la administracin de claves, y una lista de distribucin y archivos sobre IPSEC.
La implementacin del x-kernel (ncleo-x) de GNU/Linux , que est siendo desarrollada en la Universidad de
Arizona, usa una estructura basada en objetos para implementar protocolos de red denominados x-kernel, y
se puede encontrar en Universidad de Arizona (http://www.cs.arizona.edu/xkernel/hpcc-blue/linux.
html). Muy simplemente, el x-kernel es un mtodo de pasar mensajes al nivel del ncleo, lo cual hace que la
implementacin sea ms fcil.
Otra implementacin de IPSEC disponible libremente es el GNU/Linux FreeS/WAN IPSEC. La pgina web
de este dice que, Estos servicios le permiten construir tneles seguros a travs de redes desconfiadas. Cada
pasada a travs de la red desconfiada es cifrada por el portal IPSEC y descifrada por el portal del otro lado.
El resultado es una Red Privada Virtual o VPN2. Esta es una red que es efectivamente privada incluso cuando
incluye mquinas en varios sitios diferentes conectadas por la insegura Internet.
Est disponible para bajarla libremente del sitio web de FreeS/WAN (http://www.xs4all.nl/~freeswan/).
Al igual que con otras formas de criptografa, no est distribuida con el ncleo predeterminadamente debido
a las restricciones de exportacin.

11.6.4. ssh (Secure SHell) y stelnet


ssh y stelnet son conjuntos de programas que le permiten conectarse a sistemas remotos y tener una conexin
cifrada.
openssh es un conjunto de programas que se usan como reemplazos seguros de rlogin, rsh y rcp. Usa criptografa de clave pblica para cifrar las comunicaciones entre dos hosts, as como tambin para autenticar
usuarios. Se puede usar para conectarse seguramente a un host remoto o para copiar datos entre hosts, a la
vez que previene los ataques del hombre-del-medio (secuestro de sesin) y engaos de DNS. Realizar compresin de datos sobre sus conexiones, y comunicaciones X11 seguras entre los hosts.
Ahora hay varias implementaciones de SSH. La implementacin comercial original de Data Fellows se puede
encontrar en la pgina web de SSH de DataFellows (http://www.datafellows.com).
La excelente implementacin Openssh est basada en una versin temprana de ssh de DataFellows y ha
sido re-trabajada totalmente para no incluir parte alguna que est patentada o sea propietaria. Es libre y est
disponible bajo una licencia BSD. Se puede encontrar en: el sitio web de OpenSSH (http://www.openssh.com).
Tambin hay un proyecto de cdigo abierto para volver a implementar ssh desde cero denominado psst....
Para mayor informacin consulte la pgina web de psst... (http://www.net.lut.ac.uk/psst/).
Tambin puede utilizar ssh desde su estacin de trabajo Windows o su servidor GNU/Linux . Hay varias implementaciones cliente Windows disponibles libremente, incluyendo a PuTTY (http://www.chiark.greenend.
org.uk/~sgtatham/putty/) y la que se encuentra en therapy ssh (http://guardian.htu.tuwien.ac.at/
therapy/ssh/) as como tambin una implementacin comercial de DataFellows, en el sitio web de DataFellows (http://www.datafellows.com).
SSLeay (antiguo, vea OpenSSL debajo) es una implementacin libre de las Capas de socket seguras (SSL) de
Netscape, desarrollado por Eric Young. Incluye varias aplicaciones tales como un telnet seguro, un mdulo
para Apache , varias bases de datos, as como tambin varios algoritmos que incluyen a DES, IDEA y Blowfish.
Ha sido creado un reemplazo seguro de telnet usando esta biblioteca que realiza cifrado sobre una conexin telnet. A diferencia de SSH, stelnet usa SSL, el protocolo de capa de socket segura desarrollado por Netscape. Usted puede encontrar Secure telnet y Secure FTP comenzando con las preguntas
formuladas frecuentemente sobre SSLeay , disponibles en http://www.psy.uq.oz.au/~ftp/Crypto/ (http:
//www.psy.uq.oz.au/~ftp/Crypto/).
2.

154

De las siglas en ingls de Virtual Private Network

Captulo 11. Seguridad bajo GNU/Linux

El proyecto OpenSSL est


a basado en SSLeay y es su intenci
on
desarrollar un conjunto de herramientas robustas, de calidad comercial, con todas las funciones, y de c
odigo abierto que implementa los protocolos de Capa de Sockets Segura (SSL v2/v3) y
el Transport Layer Security (Seguridad en la capa de transporte)
(TLS v1) as como tambien una biblioteca de criptografa fuerte de prop
osito general. Para m
as informaci
on sobre este proyecto, consulte la p
agina web del mismo en http://www.openssl.org
(http://www.openssl.org). Hay una lista larga de aplicaciones
basadas en OpenSSL en el sitio web de OpenSSL (http://www.
openssl.org/related/apps.html).

SRP es otra implementacin segura de telnet/ftp. De la pgina web de la misma:


El proyecto SRP est desarrollando software de Internet seguro para el uso libre en todo el mundo. Comenzando con una distribucin completamente segura de Telnet y FTP , anhelamos suplantar los sistemas dbiles
de autenticacin de red con reemplazos slidos que no sacrifiquen la amigabilidad con el usuario en pos de la
seguridad. La seguridad debera ser lo predeterminado, no una opcin!
Para mayor informacin consulte stanford.edu (http://www-cs-students.stanford.edu/~tjw/srp/).

11.6.5. PAM - M
odulos de autenticaci
on enchufables
La versin de su distribucin Mandrake Linux contiene un esquema de autenticacin unificado denominado
PAM. PAM le permite cambiar sus mtodos y necesidades de autenticacin sobre la marcha, y encapsular
todos los mtodos de autenticacin local sin necesidad de volver a compilar sus binarios. La configuracin
de PAM est fuera del alcance de este captulo, pero asegrese de echar un vistazo al sitio web de PAM
(http://www.kernel.org/pub/linux/libs/pam/index.html) para ms informacin.
Slo algunas de las cosas que puede hacer con PAM:

Usar un cifrado que no sea DES para sus contraseas. (Haciendo que estas sean ms difciles de descifrar
por medio de la fuerza bruta)

Configurar lmites de recursos para todos sus usuarios para que no puedan realizar ataques de negacin de
servicio (nmero de procesos, cantidad de memoria, etc.)

Habilitar las contraseas shadow (ver debajo) sobre la marcha

Permitir que usuarios especficos slo se conecten a determinadas horas desde lugares determinados

A las pocas horas de instalar y configurar su sistema, Usted puede prevenir muchos ataques incluso antes de
que estos ocurran. Por ejemplo, use PAM para deshabilitar el uso de archivos .rhosts en el directorio personal
de los usuarios para todo el sistema agregando estas lneas en /etc/pam.d/rlogin:
#
# Deshabilitar rsh/rlogin/rexec para los usuarios
#
login auth required pam_rhosts_auth.so no_rhosts

11.6.6. Encapsulado criptogr


afico de IP (CIPE)
El objetivo primario de este software es proporcionar una herramienta para interconexin segura de sub-redes
(contra escuchas furtivas, incluyendo anlisis del trfico, e inyeccin de mensajes falsificados) a travs de una
red de paquetes insegura como Internet.
CIPE cifra los datos al nivel de la red. Los paquetes que viajan entre los hosts de la red estn cifrados. El motor
de cifrado se ubica cerca del controlador que enva y recibe paquetes.
Esto no es como SSH, el cual cifra los datos por conexin, al nivel del socket. Una conexin lgica entre
programas que estn corriendo en hosts diferentes est cifrada.
155

Captulo 11. Seguridad bajo GNU/Linux


CIPE se puede usar en tunnelling, para poder crear una Red Privada Virtual. El cifrado de bajo nivel tiene la
ventaja que se puede hacer que funcione de manera transparente entre las dos redes conectadas en la RPV, sin
cambio alguno al software de aplicacin.
Resumido a partir de la documentacin de CIPE:
Los estndares de IPSEC definen un conjunto de protocolos que pueden usarse (entre otras cosas) para construir VPNs (redes privadas virtuales) cifradas. Sin embargo, IPSEC es un conjunto de protocolos relativamente
pesado y complicado con un montn de opciones, las implementaciones del conjunto completo de protocolos
todava son poco utilizadas y algunos temas (tal como la administracin de claves) todava no estn resueltos
por completo. CIPE usa un alcance ms sencillo, en el cual muchas cosas que se pueden parametrizar (tal
como la eleccin del algoritmo de cifrado usado realmente) son una opcin fija elegida en el momento de
instalacin. Esto limita la flexibilidad, pero permite una implementacin simple (y por lo tanto eficiente, fcil
de depurar...)
Se puede encontrar ms informacin en http://sites.inka.de/sites/bigred/devel/cipe.html (http://sites.
inka.de/sites/bigred/devel/cipe.html)
Al igual que otras formas de criptografa, no se distribuye predeterminadamente con el ncleo debido a restricciones de exportacin.

11.6.7. Kerberos
Kerberos es un sistema de autenticacin desarrollado por el Athena Project en el MIT. Cuando un usuario
se conecta, Kerberos autentica a dicho usuario (usando una contrasea), y brinda al usuario una forma de
probar su identidad frente a otros servidores y host diseminados por toda la red.
Luego, esta autenticacin es usada por programas tales como rlogin para permitirle al usuario conectarse a
otros hosts sin una contrasea (en lugar del archivo .rhosts). Este mtodo de autenticacin tambin se puede
usar por el sistema de correo para garantizar que el correo se entrega a la persona correcta, as como tambin
para garantizar que el remitente es quien dice ser.
Kerberos y los otros programas con los que viene, evitan que los usuarios engaen al sistema hacindole
creer que ellos son otra persona. Desafortunadamente, la instalacin de Kerberos es muy intrusiva, siendo
necesaria la modificacin o el reemplazo de numerosos programas estndar.
Puede encontrar ms informacin sobre Kerberos mirando en las FAQ sobre Kerberos (http://www.faqs.
org/faqs/kerberos-faq/general/), y el cdigo se puede encontrar en el sitio web del MIT (http://web.
mit.edu/kerberos/www/).
[De: Stein, Jennifer G., Clifford Neuman, y Jeffrey L. Schiller. "Kerberos: Un servicio de autenticacin para
sistemas de red abiertos." Conferencia USENIX, Dallas, Texas, Invierno 1998.]
Kerberos no debera ser su primer paso en mejorar la seguridad de su host. Es bastante complejo, y no tan
ampliamente usado como, digamos, SSH.

11.6.8. Crack y John the Ripper


Si por alguna razn su programa passwd no est forzando contraseas difciles de adivinar, Usted podra
querer ejecutar un programa verificador de contraseas y asegurarse de que las contraseas de sus usuarios
son seguras.
Los programas para descubrir contraseas trabajan sobre una idea simple: prueban cada palabra del diccionario, y luego variaciones sobre dichas palabras, cifrando cada una y verificndola contra su contrasea cifrada.
Si obtienen coincidencia, entonces saben cual es su contrasea.
Hay unos cuantos programas all afuera...de los cuales, los dos ms notables son Crack y John the Ripper
(Vea OpenWall (http://www.openwall.com/john/)) . Ellos tomarn un montn de tiempo de su CPU, pero
Usted debera poder decir si un atacante puede ingresar usndolos por el slo hecho de correrlos Usted primero y notificar a los usuarios con contraseas dbiles. Note que el atacante primero tendra que usar algn
otro hueco para leer su archivo /etc/shadow, pero dichos huecos son ms comunes de lo que Usted pudiera
pensar.
Debido a que la seguridad slo es tan fuerte como el host ms inseguro, vale la pena mencionar que si Usted
tiene cualquier mquina Windows en su red, debera tener presente a L0phtCrack , una implementacin de

156

Captulo 11. Seguridad bajo GNU/Linux


Crack para Windows . La misma est disponible desde http://www.atstake.com (http://www.atstake.com/
research/lc3/)

11.6.9. CFS - Sistema de archivos criptogr


afico y TCFS - Sistema de archivos criptogr
afico
transparente
CFS (Cryptographic File System)es una forma de cifrar un rbol de directorio completo y permitir a los usuarios
almacenar archivos cifrados en el mismo. Usa un servidor NFS corriendo en la mquina local. El cdigo fuente
y ms informacin est disponible en ATT (ftp://ftp.research.att.com/dist/mab/).
TCFS mejora sobre CFS al agregar ms integracin con el sistema de archivos, por lo tanto el hecho de que
el sistema de archivos est cifrado es transparente a los usuarios. Ms informacin en el sitio web de TCFS
(http://www.tcfs.it/).
Tampoco es necesario usarlo en sistemas de archivos enteros. Tambin funciona sobre rboles de directorios.

11.6.10. X11, SVGA y la seguridad de la pantalla


11.6.10.1. X11
Es importante para Usted el asegurar su pantalla grfica para evitar que los atacantes recojan sus contraseas
mientras Usted las ingresa, lean documentos o informacin que Usted est leyendo en su monitor, o incluso
usen un hueco para ganar acceso como root. Ejecutar aplicaciones X remotas a travs de una red tambin
puede estar lleno de riesgos, permitiendo a los sabuesos ver toda su interaccin con el sistema remoto.
X tiene una cantidad de mecanismos de control de acceso. El ms simple de ellos, est basado en el host: Usted
usa xhost para especificar los hosts a los cuales se les permite acceso a su pantalla. Esto no es muy seguro en
absoluto, ya que si alguien tiene acceso a su mquina, puede ejecutar xhost + la_m
aquina_de_ellos y entrar
fcilmente. Tambin, si Usted tiene que permitir el acceso desde una mquina en la cual no confa, cualquiera
que est all puede comprometer su pantalla.
Cuando se usa xdm (X Display Manager, Administrador de pantallas X ), o su contrapartida KDE : KDM , para
conectarse, se tiene un mtodo de acceso mucho mejor: MIT-MAGIC-COOKIE-1. Se genera un cookie de
128 bits y se almacena en su archivo .Xauthority. Si necesita permitir que una mquina remota acceda a su
pantalla, puede usar el comando xauth y la informacin en su archivo .Xauthority para proveer acceso slo
a esa conexin. Consulte el mini-COMO sobre Aplicaciones X remotas (http://metalab.unc.edu/LDP/HOWTO/
mini/Remote-X-Apps.html).
Tambin puede usar ssh (ver ssh (Secure SHell) y stelnet, pgina 154) para permitir conexiones X seguras. Esto
tiene la ventaja extra de ser transparente para el usuario final, y significa que no fluyen datos sin cifrar a travs
de la red.
Tambin puede deshabilitar cualquier conexin remota a su servidor X utilizando la opcin -nolisten tcp
de su servidor X . Esto evitar cualquier conexin de red a su servidor a travs de los sockets TCP.
Eche un vistazo a la pgina Man de Xsecurity para mayor informacin sobre la seguridad en X . La apuesta
segura es usar xdm para ingresar a su consola y luego usar ssh para ir a sitios remotos sobre los cuales desea
correr programas X .

11.6.10.2. SVGA
Los programas de SVGAlib tpicamente son suid -root para poder acceder a todo el hardware de vdeo de su
mquina GNU/Linux . Esto los torna muy peligrosos. Si ellos se cuelgan, por lo general Usted tendr que reiniciar su mquina para volver a obtener una consola utilizable. Asegrese que cualquier programa SVGA que
Usted est ejecutando es autntico, y puede ser confiado al menos algo. Mejor an, no los corra en absoluto.

157

Captulo 11. Seguridad bajo GNU/Linux


11.6.10.3. GGI (Proyecto de Interfaz Gr
afica Gen
erica)
El proyecto GNU/Linux GGI (Generic Graphic Interface) est intentando resolver varios de los problemas con las
interfaces de vdeo en GNU/Linux . GGI mover una pequea pieza del cdigo de vdeo dentro del ncleo de
GNU/Linux , y luego controlar el acceso al sistema de vdeo. Esto significa que GGI podr restaurar su consola
en cualquier momento a un estado bueno conocido. Tambin permitirn una clave de atencin segura, por
lo que Usted podr estar seguro de que no hay un programa login Troyano corriendo en su consola. Ms
informacin en el sitio web del proyecto GGI (http://www.ggi-project.org/).

11.7. Seguridad del n


ucleo
Esta es una descripcin de las opciones de configuracin del ncleo que se relacionan con la seguridad, y una
explicacin de lo que hacen, y de como usarlas.
Debido a que el ncleo controla la parte de red de su mquina, es importante que sea muy seguro, y que no
est comprometido. Para evitar algunos de los ltimos ataques de red, Usted debera intentar mantener su
versin del ncleo actualizada. Puede encontrar ncleos nuevos en kernel.org (ftp://ftp.kernel.org) o a
partir de actualizaciones de paquetes disponibles por medio de MandrakeUpdate .
Tambin existe un grupo internacional que provee un parche nico y unificado de criptografa para el ncleo de GNU/Linux principal. Este parche proporciona soporte de una cantidad de subsistemas criptogrficos
y cosas que no se pueden incluir en el ncleo principal debido a restricciones de exportacin. Para mayor
informacin, visite su pgina web en: kerneli.org (http://www.kerneli.org)

11.7.1. Opciones de compilaci


on del n
ucleo
Cuando se escribi este documento, el ncleo 2.2 era lo ltimo que haba. Todava hoy, la mayora de los
cortafuegos corren 2.2. Sin embargo, con el ncleo 2.4 han cambiado un montn de cosas. La mayora de las
opciones de compilacin de este captulo todava son vlidas, pero el enmascarado y reenvo de puertos ha sido reemplazado por iptables . Para ms informacin sobre iptables consulte el sitio web de linuxguruz.org
(http://www.linuxguruz.org/iptables/howto/iptables-HOWTO.html).

Para los ncleos 2.2.x, aplican las opciones siguientes. Usted debera ver estas opciones durante el proceso de
configuracin del ncleo. Muchos de los comentarios aqu son extractos de /usr/src/linux/Documentation/Configure.he
que es el mismo documento que se referencia cuando se usa la opcin de Help (Ayuda) durante la etapa make
config de la compilacin del ncleo. Por favor, consulte Compilando e instalando ncleos nuevos en Manual
de Referencia para una descripcin completa de la compilacin de un ncleo completamente nuevo.

Network Firewalls (CONFIG_FIREWALL)


Esta opcin debera estar habilitada si Usted pretende correr cualquier tipo de cortafuegos o enmascaramiento en su mquina GNU/Linux . Si slo va a ser una mquina cliente comn, es seguro decir no.

IP: forwarding/gatewaying (CONFIG_IP_FORWARD)


Si habilita el reenvo de IP, su mquina GNU/Linux se convierte esencialmente en un router. Si su mquina
est en una red, Usted puede estar reenviando datos de una red a otra, y tal vez derribando un cortafuegos que fue puesto all para evitar que esto ocurra. Los usuarios normales de conexin telefnica querrn
deshabilitar esto, y otros usuarios deberan concentrarse en las implicancias de seguridad de hacer esto. Las
mquinas cortafuegos querrn habilitar esto, y usarlo en conjunto con software de cortafuegos.
Puede habilitar el reenvo de IP dinmicamente usando el comando siguiente:
root#

echo 1 > /proc/sys/net/ipv4/ip_forward

y deshabilitarlo con el comando:


root#

158

echo 0 > /proc/sys/net/ipv4/ip_forward

Captulo 11. Seguridad bajo GNU/Linux

IP: syn cookies (CONFIG_SYN_COOKIES)


Un SYN Attack es un ataque de negacin de servicio (DoS) que consume todos los recursos de su mquina, forzndolo a reiniciarla. No podemos pensar en una razn por la cual Usted normalmente no habilitara
esto. En la serie de ncleos 2.1 esta opcin de configuracin meramente permita a los cookies SYN, pero los
deshabilitaba. Para habilitarlos, tiene que hacer:
root# echo 1 > /proc/sys/net/ipv4/tcp_syncookies <P>

IP: Firewalling (CONFIG_IP_FIREWALL)


Esta opcin es necesaria si va a configurar a su mquina como un cortafuegos, hacer enmascaramiento, o
desea proteger a su estacin de trabajo de acceso telefnico de alguien que ingrese a su sistema a travs de
su interfaz PPP de acceso telefnico.

IP: firewall packet logging (CONFIG_IP_FIREWALL_VERBOSE)


Esta opcin le da informacin sobre los paquetes que recibi su cortafuegos, como remitente, destinatario,
puerto, etc.

IP: Drop source routed frames (CONFIG_IP_NOSR)


Esta opcin debera estar habilitada. Las tramas de ruteo fuente contienen la ruta completa a su destino
dentro del paquete. Esto significa que los ruteadores por los cuales pasa el paquete no necesitan inspeccionarlos, y simplemente los siguen reenviando. Esto puede llevar a que ingresen datos en su sistema que
pueden ser una explotacin potencial.

IP: masquerading (CONFIG_IP_MASQUERADE)


Si una de las computadoras en su red local para la cual su mquina GNU/Linux acta como un cortafuegos
quiere enviar algo al exterior, su mquina puede enmascararse como ese host, es decir, esta reenva el
trfico al destino pretendido, pero hace parecer como si el trfico viniese de la mquina cortafuegos en
s misma. Vea Indyramp (http://www.indyramp.com/masq) y Configuracin de los clientes enmascarados,
pgina 103 para mayor informacin.

IP: ICMP masquerading (CONFIG_IP_MASQUERADE_ICMP)


Esta opcin agrega enmascaramiento ICMP a la opcin previa de slo enmascaramiento del trfico TCP o
UDP.

IP: transparent proxy support (CONFIG_IP_TRANSPARENT_PROXY)


Esto le permite a su cortafuegos GNU/Linux redireccionar de manera transparente cualquier trfico de red
que se origina desde la red local y est destinado para un host remoto a un servidor local, denominado un
servidor proxy transparente. Esto hace que las computadoras locales piensen que estn dialogando con
el extremo remoto, cuando de hecho estn conectadas al proxy local. Ver el COMO sobre enmascaramiento de
IP y el sitio Indyramp (http://www.indyramp.com/masq) para mayor informacin.

IP: always defragment (CONFIG_IP_ALWAYS_DEFRAG)


Generalmente esta opcin est deshabilitada, pero si Usted est construyendo un host cortafuegos o de
enmascaramiento, querr habilitarla. Cuando se envan los datos de un host a otro, los mismos no siempre
se envan como un nico paquete de datos, sino que estn algo fragmentados en varias piezas. El problema
con esto es que los nmeros de puerto slo se almacenan en el primer fragmento. Esto significa que alguien
puede insertar informacin que no se supone que est all en los paquetes que restan. Tambin puede evitar
un ataque de lagrimeo contra un host interno que todava no est protegido contra este.

159

Captulo 11. Seguridad bajo GNU/Linux

Packet Signatures (CONFIG_NCPFS_PACKET_SIGNING)


Esta es una opcin que firmar los paquetes NCP para mayor seguridad. Normalmente puede dejarla deshabilitada, pero est all si es que la necesita.

IP: Firewall packet netlink device (CONFIG_IP_FIREWALL_NETLINK)


Esta es una opcin realmente bonita que le permite analizar los primeros 128 bytes de los paquetes de un
programa en espacio de usuario, para determinar si Usted querra aceptar o negar el paquete, basado en su
validez.

Socket Filtering (CONFIG_FILTER)


Para la mayora de la gente, es seguro decir no a esta opcin. Esta opcin le permite conectar un filtro en
espacio de usuario a cualquier socket y determinar si los paquetes deben ser permitidos o negados. A menos
que Usted tenga una necesidad muy especfica y sea capaz de programar tal filtro, debera decir no. Note
tambin que al momento de esta escritura, estaban soportados todos los protocolos excepto TCP.

Port Forwarding
El reenvo de puertos es una adicin al enmascarado de IP que permite algo de reenvo de paquetes desde el exterior al interior de un cortafuegos en determinados puertos. Esto puede ser til, por ejemplo, si
quiere correr un servidor web detrs del host cortafuegos o de enmascaramiento y ese servidor web debe
ser accesible desde el mundo exterior. Un cliente externo enva un pedido al puerto 80 del cortafuegos, el
cortafuegos reenva este pedido al servidor web, el servidor web maneja el pedido y se envan los resultados
a travs del cortafuegos al cliente original. El cliente cree que es la mquina cortafuegos en s misma la que
est corriendo el servidor web. Tambin se puede usar esto para el balanceo de carga si tiene una granja
de servidores web idnticos detrs del cortafuegos. Est disponible informacin sobre esta caracterstica en
monmouth (http://www.monmouth.demon.co.uk/ipsubs/portforwarding.html). Para informacin general, por favor vea compsoc (ftp://ftp.compsoc.net/users/steve/ipportfw/linux21/).

Socket Filtering (CONFIG_FILTER)


Usando esta opcin, los programas en espacio de usuario pueden adjuntar un filtro a cualquier socket y
por lo tanto decirle al ncleo que debera permitir o negar que ciertos tipos de datos fluyan por el socket.
El filtrado de sockets de GNU/Linux funciona sobre todos los tipos de socket excepto TCP por ahora. Vea el
archivo de texto /usr/src/linux/Documentation/networking/filter.txt para mayor informacin.

IP: Masquerading
El enmascaramiento de IP del ncleo 2.2 ha sido mejorado. El mismo proporciona soporte adicional para protocolos especiales de enmascaramiento, etc. Asegrese de leer el COMO sobre IP Chains para mayor
informacin.

11.7.2. Dispositivos del n


ucleo
Estn disponibles unos pocos dispositivos de bloque y caracter en GNU/Linux que tambin lo ayudarn con la
seguridad.
El ncleo proporciona los dos dispositivos /dev/random y /dev/urandom para suministrar datos aleatorios en
cualquier momento.
Tanto /dev/random como /dev/urandom deberan ser lo suficientemente seguros para generar claves PGP , retos
ssh, y otras aplicaciones donde se necesiten nmeros aleatorios seguros. Los atacantes no deberan poder
predecir el nmero siguiente dado cualquier secuencia inicial de nmeros de estas fuentes. Se ha puesto un
montn de esfuerzo en asegurarse que los nmeros que Usted obtiene desde estas fuentes son aleatorios en
todo el sentido de la palabra.

160

Captulo 11. Seguridad bajo GNU/Linux


La nica diferencia entre estos dos dispositivos, es que /dev/random corre a partir de bytes aleatorios y hace
que Usted espere que se acumulen ms. Note que en algunos sistemas, se puede bloquear por un largo rato
esperando que la nueva entropa generada por el usuario ingrese en el sistema. Por lo tanto debera tener
cuidado antes de usar /dev/random. (Tal vez la mejor cosa a hacer es usarlo cuando Usted est generando
informacin sensible al tecleo, y Usted le dice al usuario que presione el teclado repetitivamente hasta que se
imprima Bueno, suficiente.)
/dev/random es entropa de alta calidad, generada a partir de la medicin de los tiempos inter-interrupciones,
etc. Se bloquea hasta que estn disponibles suficientes bits de datos aleatorios.
/dev/urandom es similar, pero cuando el almacn de entropa se est vaciando, devolver un hash criptogrficamente fuerte de lo que hay. Esto no es tan seguro, pero es suficiente para la mayora de las aplicaciones.
Usted puede leer del dispositivo usando algo como lo siguiente:
root# head -c 6 /dev/urandom | mimencode

Esto mostrar seis caracteres aleatorios en la consola, adecuados para la generacin de contraseas. Puede
encontrar a mimencode en el paquete metamail.
Vea /usr/src/linux/drivers/char/random.c para una descripcin del algoritmo.

11.8. Seguridad de la red


La seguridad de la red se est volviendo ms y ms importante a medida que la gente se pasa ms y ms tiempo conectada. Comprometer la seguridad de la red por lo general es ms fcil que comprometer la seguridad
fsica o local, y es mucho ms comn.
Hay una cantidad de herramientas buenas para ayudarlo con la seguridad de la red, y cada vez ms son parte
de su distribucin Mandrake Linux, ya sea en el CD-ROM principal, en contribs, o a travs del servidor FTP
crypto (ver arriba)

11.8.1. Sabuesos (Sniffers) de paquetes


Una de las maneras ms comunes en las que los intrusos ganan acceso a ms sistemas en su red es empleando
un sabueso de paquetes sobre un host ya comprometido. Este sabueso simplemente escucha sobre el puerto
Ethernet cosas como passwd y login y su en el flujo de paquetes y entonces registra el trfico luego de
alguno de ellos. De esta forma, los atacantes ganan contraseas para sistemas en los cuales ellos ni siquiera
estn intentando entrar. Las contraseas textuales son muy vulnerables a este ataque.
Ejemplo: El Host A ha sido comprometido. El atacante instala un sabueso. El sabueso levanta el registro administrativo dentro del Host B desde el Host C. Obtiene la contrasea personal del administrador mientras este
se conecta a B. Luego, el administrador hace un su para arreglar un problema. Ahora ellos tienen la contrasea
de root para el Host B. Luego el administrador permite que alguien haga telnet desde su cuenta al Host Z
en otro sitio. Ahora el atacante tiene una contrasea/login en Host Z.
En estos das y estas pocas, el atacante ni siquiera necesita comprometer a un sistema para hacer esto: ellos
tambin pueden traer una porttil o una PC dentro de un edificio y pinchar su red.
El uso de ssh u otros mtodos de contraseas cifradas frustra este ataque. Cosas como APOP para las cuentas
POP tambin evitan este ataque. (Las conexiones POP normales son muy vulnerables a esto, al igual que
cualquier cosa que enve contraseas textuales sobre la red.)

11.8.2. Los servicios del sistema y los tcp wrappers


Antes de poner a su sistema GNU/Linux en CUALQUIER red la primer cosa a revisar es cuales servicios
necesita ofrecer. Los servicios que no necesita ofrecer deberan estar deshabilitados, de esta forma tendr una
cosa menos de la cual preocuparse y los atacantes tendrn un lugar menos donde buscar un hueco.
Hay una cantidad de formas de deshabilitar servicios bajo GNU/Linux . Puede mirar en su archivo /etc/inetd.
conf y ver qu servicios est ofreciendo su inetd. Deshabilite cualquier servicio que no necesita agregando
un comentario (# al comienzo de una lnea), y luego reinicie su servicio inetd.

161

Captulo 11. Seguridad bajo GNU/Linux


Tambin puede quitar (o agregar comentarios a) los servicios en su archivo /etc/services. Esto significar
que los clientes locales tampoco podrn encontrar el servicio (es decir, si Usted quita ftp, e intenta hacer ftp
a un sitio remoto desde esa mquina este fallar con un mensaje de servicio desconocido) Generalmente
no vale la pena quitar servicios desde /etc/services, ya que esto no proporciona seguridad adicional. Si una
persona local quisiera usar ftp incluso cuando Usted agreg el comentario, ellos pueden hacer que su propio
cliente use el puerto comn de FTP y todava funcionara sin problemas.
Algunos de los servicios que querra dejar habilitados son:

ftp

telnet (o ssh)

correo electrnico, como pop-3 o imap

identd

Si sabe que no va a utilizar algn paquete en particular, tambin puede eliminarlo por completo.rpm -e packagename borrar un paquete completo.
Adicionalmente, Usted realmente quiere deshabilitar los utilitarios rsh/rlogin/rcp incluyendo a login (usado
por rlogin), shell (usado por rcp), y exec (usado por rsh) para que no se inicien en /etc/inetd.conf. Estos
protocolos son extremadamente inseguros y han sido la causa de explotaciones en el pasado.
Debera verificar sus archivos /etc/rc.d/rc[0-9].d, y ver si algunos de los servidores que se inician en esos
directorios no se necesitan. En realidad, los archivos en esos directorios son vnculos simblicos a archivos
en el directorio /etc/rc.d/init.d. El renombrar los archivos en el directorio init.d deshabilita a todos los
vnculos simblicos que apunten a tales archivos. Si Usted slo quiere deshabilitar un servicio para un nivel de
ejecucin en particular, renombre el vnculo simblico apropiado reemplazando la S con una K, de la siguiente
forma:
root#
root#

cd /etc/rc6.d
mv S45dhcpd K45dhcpd

Tambien puede usar un utilitario de la lnea de comandos para hacer


eso: chkconfig o la interfaz gr
afica bajo KDE : ksysv.

Su distribucin Mandrake Linux se enva con un tcp_wrapper que envuelve a todos sus servicios TCP. El
tcp_wrapper (tcpd) se invoca desde inetd en lugar del servidor real. tcpd entonces verifica el host que est
pidiendo el servicio y, o bien ejecuta el servidor real, o bien niega el acceso desde ese host. tcpd le permite
restringir el acceso a sus servicios TCP. Usted debera editar /etc/hosts.allow y agregar slo aquellos hosts
que necesitan tener acceso a los servicios de su mquina.
Si Usted es un usuario hogareo de acceso telefnico, sugerimos que niegue TODOS. tcpd tambin registra los
intentos fallidos de acceso a los servicios, por lo que esto lo puede alertar si Usted est bajo ataque. Si agrega
servicios nuevos, debera asegurarse de configurarlos para usar tcp_wrappers si estn basados en TCP. Por
ejemplo, un usuario normal de acceso telefnico puede evitar que los extraos se conecten a su mquina, y
todava tener la posibilidad de recibir correo, y hacer conexiones de red a Internet. Para lograr esto, podra
agregar lo siguiente a su archivo /etc/hosts.allow:
ALL: 127.
Y, por supuesto, su archivo /etc/hosts.deny contendra:
ALL: ALL
lo cual evitar las conexiones externas a su mquina, y todava le permitir a Usted conectarse desde la misma
con servidores en Internet.
Tenga en mente que los tcp_wrappers slo protegen a los servicios que se ejecutan desde inetd, y a unos pocos
otros seleccionados. Bien podra haber otros servicios corriendo en su mquina. Usted puede usar netstat ta para encontrar una lista de todos los servicios que su mquina est ofreciendo.

162

Captulo 11. Seguridad bajo GNU/Linux

11.8.3. Verifique su informaci


on de DNS
Mantener informacin DNS actualizada acerca de todos los hosts en su red puede ayudar a incrementar la
seguridad. Si un host no autorizado se conecta a su red, Usted puede reconocerlo por su falta de una entrada
DNS. Muchos servicios se pueden configurar para no aceptar conexiones de hosts que no tengan entradas de
DNS vlidas.

11.8.4. identd
identd es un programa pequeo que tpicamente corre desde su servidor inetd. Mantiene la pista de el servicio TCP que est corriendo cada usuario, y le reporta sobre quien hizo la demanda.
Mucha gente no entiende la utilidad de identd, y por lo tanto lo deshabilitan o bloquean a todos quienes lo
piden desde fuera del sitio. identd no est all para ayudar a los sitios remotos. No hay forma de saber si los
datos que Usted obtiene desde el identd remoto son correctos o no. No hay autenticacin en los pedidos de
identd.
Entonces, por qu querra ejecutarlo? Porque lo ayuda a Usted, y es otro punto en seguir la pista a los datos.
Si su identd no est comprometido, entonces Usted sabe que le est diciendo a los sitios remotos el nombre
de usuario o el UID de la gente que usa servicios TCP. Si el administrador de un sitio remoto se presenta ante
Usted y le dice que el usuario fulano de tal estaba intentando hackear dentro de su sitio, Usted puede tomar
accin fcilmente contra ese usuario. Si Usted no est corriendo identd, Usted tendr que revisar montones
y montones de registros, adivinar quien estaba conectado en ese momento, y en general tomara mucho ms
tiempo seguirle la pista al usuario.
El identd que se enva con la mayora de las distribuciones es ms configurable de lo que piensa mucha gente.
Lo puede deshabilitar para usuarios especficos (ellos pueden hacer un archivo .noident), puede registrar
todos los pedidos identd (lo cual recomendamos), incluso puede hacer que identd devuelva un UID en vez
de un nombre de usuario o incluso NO-USER.

11.8.5. Configurando y haciendo seguro al MTA Postfix


El servidor de correo electrnico Postfix fue escrito por Wietse Venema, autor de Postfix y muchos otros
productos necesarios para la seguridad de Internet, tales como un intento de brindar una alternativa al programa Sendmail ampliamente utilizado. Postfix intenta ser rpido, fcil de administrar, y con suerte, seguro,
a la vez que mantiene bastante compatibilidad con Sendmail como para no enojar a sus usuarios.
Se puede encontrar ms informacin acerca de Postfix en la pgina web de Postfix (http://www.postfix.
org) y en Configurando y haciendo seguro a Postfix (http://www.linuxsecurity.com/feature_stories/
feature_story-91.html).

11.8.6. SATAN, ISS, y otros rastreadores de la red


Existe una cantidad de paquetes de software diferentes que hacen un rastreo de mquinas o redes basado en
puertos y servicios. SATAN , ISS , SAINT , y Nessus son algunos de los ms conocidos . Este software se conecta
a la mquina objetivo (o a todas las mquinas objetivo en una red) en todos los puertos que pueda, e intenta
determinar que servicio est corriendo all. Usted puede decir si la mquina es vulnerable a una explotacin
especfica sobre ese servidor basndose en esta informacin.
SATAN (Security Administrators Tool for Analyzing Networks, Herramienta del administrador de la seguridad
para analizar redes) es un rastreador de puertos con una interfaz web. Se puede configurar para realizar verificaciones leves, medias, o fuertes sobre una mquina o una red de mquinas. Es una buena idea obtener
a SATAN y rastrear su mquina o su red, y corregir los problemas que este encuentre. Asegrese de obtener la copia de SATAN desde el sitio web de Metalab (http://metalab.unc.edu/pub/packages/security/
Satan-for-Linux/) o un sitio FTP o web de reputacin conocida. Haba una copia Troyano de SATAN que se
distribua en la red. trouble.org (http://www.trouble.org/~zen/satan/satan.html). Note que SATAN no ha
sido actualizado desde hace tiempo, y algunas de las otras herramientas que siguen podran hacer un trabajo
mejor.
ISS (Internet Security Scanner, Rastreador de seguridad de Internet) es otro rastreador basado en puertos. Es
ms rpido que SATAN , y por lo tanto puede ser mejor para redes grandes. Sin embargo, SATAN tiende a proveer
mayor informacin.

163

Captulo 11. Seguridad bajo GNU/Linux


TriSentry (antes conocido como Abacus ) es un conjunto de programas que brindan seguridad y deteccin de
intrusiones basadas en el host. Consulte la pgina web de Psionic (http://www.psionic.com/products/) para
mayor informacin.
SAINT es una versin actualizada de SATAN . Est basada en web y tiene muchas ms pruebas actualizadas que
SATAN . Puede encontrar ms informacin acerca del mismo en: wwdsi.com (http://www.wwdsi.com/saint)
Nessus es un rastreador de seguridad libre. Tiene una interfaz grfica GTK para facilidad de uso. Tambin
est diseado con una configuracin muy buena de plugins para pruebas de rastreo de puertos nuevas. Para
mayor informacin, eche un vistazo a : nessus.org (http://www.nessus.org/)
11.8.6.1. Detectando rastreos de puertos
Hay algunas herramientas diseadas para alertarle en caso de rastreos hechos por SATAN e ISS y otro software
de rastreo. Sin embargo, si Usted usa tcp_wrappers liberalmente y revisa sus archivos de registro regularmente, debera poder darse cuenta de tales rastreos. Incluso en la configuracin ms leve, SATAN deja rastros en los
registros.
Tambin existen rastreadores de puertos stealth. Es muy probable que un paquete con el bit TCP ACK activo
(como hacen las conexiones bien establecidas) pasar a travs de un cortafuegos que filtra paquetes. El paquete
RST devuelto desde un puerto que _no tiene sesin establecida_ puede tomarse como una prueba de vida en
dicho puerto. No creo que los TCP_wrappers detectarn esto.
Tambin puede querer echar un vistazo a SNORT (http://www.snort.org) que es un Sistema de deteccin de
intrusiones (IDS del ingls Intrusion Detection System), que puede detectar otras intrusiones en la red.

11.8.7. sendmail, qmail y los MTA3


Uno de los servicios ms importantes que Usted puede proporcionar es un servidor de correo. Desafortunadamente, tambin es uno de los ms vulnerables al ataque, simplemente debido al nmero de tareas que debe
llevar a cabo y los privilegios que necesita tpicamente.
Si est utilizando sendmail es muy importante que se mantenga actualizado con las versiones corrientes.
sendmail tiene una larga historia de explotaciones de seguridad. Siempre asegrese de usar la ltima versin
disponible en el sitio web de Sendmail (http://www.sendmail.org/).
Tenga presente que sendmail no tiene que estar corriendo para que Usted pueda enviar correo. Si Usted es
un usuario hogareo puede deshabilitar por completo a sendmail , y simplemente usar su cliente de correo
para enviar el correo. Tambin podra elegir quitar la opcin -bd del archivo de arranque de sendmail , deshabilitando de esa forma los pedidos de correo entrantes. En otras palabras, puede ejecutar sendmail desde
su script de arranque usando lo siguiente:
# /usr/lib/sendmail -q15m

Esto causar que sendmail vace la cola de correo cada quince minutos para cualquier mensaje que no se pudo
enviar satisfactoriamente en el primer intento.
Muchos administradores eligen no usar sendmail , y en su lugar elegir uno de los otros agentes de transporte
de correo. Usted podra considerar el cambiar a Qmail . Qmail fue diseado con la seguridad en mente desde
el principio. Es rpido, estable, y seguro. Se puede encontrar a Qmail en: qmail.org (http://www.qmail.org)
En competencia directa con Qmail est Postfix , escrito por Wietse Venema, el autor de tcp_wrappers y otras
herramientas de seguridad. Antes denominado vmailer , y patrocinado por IBM, este tambin es un agente de
transporte de correo escrito con la seguridad en mente desde el principio. Puede encontrar ms informacin
sobre Postfix en el sitio web de Postfix (http://www.postfix.org)

Postfix es el MTA predeterminado que se enva con Mandrake


Linux.

3.

164

Mail Transport Agent Agentes de Transporte de Correo.

Captulo 11. Seguridad bajo GNU/Linux

11.8.8. Ataques de negaci


on de servicio
Un ataque de Negacin de Servicio (DoS, del ingls Denial of Service) es aquel en el cual el atacante intenta
hacer que algn recurso est muy ocupado para atender pedidos legtimos, o negar el acceso a su mquina a
los usuarios legtimos.
Los ataques de negacin de servicio se han incrementado mucho en los aos recientes. Abajo se listan algunos
de los ms populares y recientes. Note que todo el tiempo se presentan nuevos, por lo tanto estos son slo
algunos ejemplos. Lea las listas de seguridad de GNU/Linux y la lista y los archivos bugtraq para informacin
ms actualizada.

SYN Flooding Este es un ataque de negacin de servicio de red. Se aprovecha de un hueco de lazo en la
forma en que se crean las conexiones TCP. Los ncleos de GNU/Linux ms recientes (2.0.30 y superiores)
tienen varias opciones configurables para evitar que los ataques de este tipo le nieguen a la gente el acceso
a su mquina o a los servicios de la misma. Consulte Seguridad del ncleo, pgina 158 para las opciones
apropiadas de proteccin del ncleo.

Ping Flooding Este es simplemente un ataque de negacin de servicio de fuerza bruta. El atacante enva
una inundacin de paquetes ICMP a su mquina. Si ellos estn haciendo esto desde un host con mejor
ancho de banda que el suyo, su mquina no podr enviar todo a la red. Una variacin de este ataque,
denominada smurfing, enva paquetes ICMP a un host con la direccin IP de retorno de su mquina,
permitindoles inundarlo de una forma ms difcil de detectar. Puede encontrar ms informacin sobre
el ataque smurf en linuxsecurity.com (http://www.linuxsecurity.com/articles/network_security_
article-4258.html)
Si alguna vez est bajo un ataque de inundacin de ping, use una herramienta como tcpdump para determinar de donde vienen los paquetes (o de donde parecen venir), luego contacte a su proveedor con esta
informacin. Las inundaciones de ping pueden pararse fcilmente al nivel del router o usando un cortafuegos.

Ping o Death El ataque Ping o Death (El ping de la muerte) enva paquetes ICMP ECHO REQUEST que son
muy grandes para caber en las estructuras de datos del ncleo que pretenden alojarlos. Debido a que mandar un nico paquete ping grande (65,510 bytes) a muchos sistemas causar que los mismos se cuelguen
o incluso se caigan, este problema fue rpidamente bautizado el Ping de la muerte. Ya hace tiempo que se
corrigi este tipo de ataque, y por lo tanto ya no es algo por lo que uno tenga que hacerse problemas.

Puede encontrar el cdigo para la mayora de las explotaciones, y una descripcin ms detallada de como
funcionan usando el motor de bsqueda que brinda insecure.org (http://www.insecure.org/sploits.html)

11.8.9. Seguridad de NFS (Network File System)


NFS es un protocolo para compartir archivos usado ampliamente. Permite que los servidores que corren nfsd
y mountd exporten sistemas de archivos enteros a otras mquinas usando el soporte de sistemas de archivos
NFS incorporados en sus ncleos (o algn otro soporte cliente si es que no son mquinas GNU/Linux ). mountd
mantiene un registro de los sistemas de archivos montados en /etc/mtab, y puede mostrarlos con showmount.
Muchos sitios usan NFS para servir a los usuarios sus directorios personales, por lo que no importa desde qu
mquina en la red se conecten, ellos tendrn todos sus archivos personales.
Hay una pequea cantidad de seguridad permitida al exportar sistemas de archivos. Usted puede hacer que
su nfsd asigne al usuario root remoto (UID=0) al usuario nobody, negndole acceso total a los archivos exportados. Sin embargo, debido a que los usuarios individuales tienen acceso a sus archivos propios (o al menos a
los del mismo UID), el usuario root remoto se puede conectar o hacer su a su cuenta y tener acceso total a sus
archivos. Esto es slo un pequeo estorbo para un atacante que tiene acceso a montar sus sistemas de archivos
remotos.
Si debe usar NFS, asegrese de exportar slo hacia aquellas mquinas que realmente necesita. Nunca exporte
todo su directorio raz; exporte slo aquellos directorios que necesita exportar.
Para mayor informacin sobre NFS, consulte los COMO s sobre NFS, disponibles en LDP (http://www.ibiblio.
org/mdw/HOWTO/NFS-HOWTO/)

165

Captulo 11. Seguridad bajo GNU/Linux

11.8.10. NIS (Network Information Service) (antes era YP).


El servicio de informacin de red o NIS, por sus siglas en ingls (anteriormente YP por Yellow Pages, Pginas
Amarillas), es una forma de distribuir informacin a un grupo de mquinas. El maestro NIS guarda las tablas
de informacin y las convierte en archivos de mapa NIS. Luego, se sirven esos mapas sobre la red, permitiendo
a las mquinas cliente NIS obtener informacin sobre conexin, contrasea, directorio personal, y shell (toda
la informacin en un archivo /etc/passwd estndar). Esto permite a los usuarios cambiar su contrasea una
vez y hacer que la misma tenga efecto en todas las mquinas en el dominio NIS.
NIS no es seguro en absoluto. Nunca lleg a ser lo que se pretenda. Se pretenda que sea hbil y til. Cualquiera que puede adivinar el nombre de su dominio NIS (en cualquier parte de la red) puede obtener una
copia de su archivo de contraseas, y usar crack y John the Ripper contra las contraseas de sus usuarios.
Tambin es posible engaar a NIS y hacer todo tipo de trucos asquerosos. Si debe utilizar NIS, debe asegurarse
que conoce los peligros.
Existe un reemplazo mucho ms seguro para NIS, denominado NIS+ . Vea el COMO sobre NIS para ms informacin en ibiblio (http://www.ibiblio.org/mdw/HOWTO/NIS-HOWTO/).

11.8.11. Cortafuegos
Los cortafuegos son una forma de controlar que informacin se permite ingresar a y salir desde su red local.
Tpicamente el host cortafuegos est conectado a la Internet y su red LAN local, y el nico acceso desde su red
LAN local a la Internet es a travs del cortafuegos. De esta forma el cortafuegos puede controlar lo que pasa
en ambas direcciones entre la Internet y su red LAN.
Hay varios tipos de cortafuegos y mtodos de configurarlos. Las mquinas GNU/Linux son cortafuegos muy
buenos. El cdigo del cortafuegos se puede incorporar directamente en los ncleos 2.0 y superiores. Las herramientas de espacio de usuario ipchains para los ncleos 2.2, e iptables para los ncleos 2.4 le permiten
cambiar, sobre la marcha, los tipos de trfico de red que Usted permite. Tambin puede registrar tipos particulares de trfico de red.
Los cortafuegos son una tcnica muy til e importante para asegurar su red. Sin embargo, nunca piense que
por el hecho de tener un cortafuegos, no necesita asegurar las mquinas detrs del mismo. Esto es un error
fatal. Eche un vistazo al COMO sobre cortafuegos muy bueno en ibiblio (http://www.ibiblio.org/mdw/HOWTO/
Firewall-HOWTO.html) para mayor informacin sobre los cortafuegos y GNU/Linux .
Si no tiene experiencia alguna con los cortafuegos, y planea configurar uno para algo ms que una simple poltica de seguridad, el libro Firewalls de OReilly and Associates u otra documentacin en lnea sobre cortafuegos son lecturas obligatorias. Eche un vistazo en el sitio de OReilly (http://www.ora.com) para mayor informacin. El National Institute of Standards and Technology (NIST) ha hecho un documento
excelente sobre cortafuegos. Aunque data de 1995, todava es bastante bueno. Lo puede encontrar en NIST
(http://cs-www.ncsl.nist.gov/publications/nistpubs/800-10/main.html). Tambin de inters, se incluyen:

The Freefire Project -- una lista de herramientas de cortafuegos disponibles libremente en freefire (http:
//sites.inka.de/sites/lina/freefire-l/index_en.html).

Mason -- el constructor automtico de cortafuegos para GNU/Linux . Este es un script de cortafuegos que aprende
a medida que Usted realiza las cosas que necesita hacer en su red! Ms informacin en: mason (http:
//www.pobox.com/~wstearns/mason/).

11.8.12. IP Chains Cortafuegos con el n


ucleo 2.2.x de Linux
GNU/Linux IP Firewalling Chains es una actualizacin al cdigo de cortafuegos del ncleo 2.0 de GNU/Linux
para el ncleo 2.2. Tiene muchas ms funciones que las implementaciones anteriores, incluyendo:

Manipulaciones de paquetes ms flexible

Contabilidad ms compleja

Cambios de poltica simples posibles automticamente

166

Captulo 11. Seguridad bajo GNU/Linux

Se puede bloquear, negar, etc. explcitamente a los fragmentos

Registra los paquetes sospechosos

Puede manejar protocolos que no sean ICMP/TCP/UDP.

Para ms informacin debe asegurarse de leer el COMO sobre IP Chains. Est disponible en LinuxDoc (http:
//www.tldp.org/HOWTO/IPCHAINS-HOWTO.html)

11.8.13. Netfilter - el cortafuegos del n


ucleo de Linux 2.4.x
Mejorando todava ms el cdigo de filtrado de paquetes IP del ncleo, netfilter permite a los usuarios configurar, mantener, e inspeccionar las reglas de filtrado de paquetes en el ncleo 2.4 nuevo.
El sub-sistema netfilter es una reescritura por completo de las implementaciones previas del filtrado de paquetes incluyendo a ipchains e ipfwadm. Netfilter brinda una cantidad importante de mejoras, y ahora se ha
vuelto una solucin incluso mucho ms madura y robusta para la proteccin de redes corporativas.
iptables es una interfaz de la lnea de comandos utilizada para manipular las tablas del cortafuegos dentro
del ncleo.
Netfilter brinda un marco para manipular los paquetes a medida que los mismos pasan por distintas partes
del ncleo. Parte de este marco incluye soporte para el enmascarado, el filtrado estndar de paquetes, y ahora
un soporte ms completo para la traduccin de direcciones de red (NAT). Incluso incluye soporte mejorado
para los pedidos de balanceo de cargas para un servicio en particular de entre un grupo de servidores detrs
del cortafuegos.
Las caractersticas de inspeccin que conservan el estado (stateful) son especialmente potentes. Las mismas
brindan la posibilidad de seguir la pista y controlar el flujo de la comunicacin que pasa a travs del filtro. La
posibilidad de mantener la pista del estado y de la informacin de contexto sobre una sesin no slo hace que
las reglas sean ms simples sino que tambin ayuda a interpretar mejor los protocolos de nivel ms alto.
Adicionalmente, se pueden desarrollar muchos mdulos pequeos para realizar funciones especficas, tales
como pasar paquetes a programas en el espacio de usuario para que los procesen y luego volverlos a inyectar
en el flujo normal de los paquetes. La posibilidad de desarrollar estos programas en el espacio de usuario
reduce el nivel de complejidad que antes estaba asociado con tener que hacer los cambios directamente a nivel
del ncleo.
Otras referencias a IP Tables incluyen:

El tutorial de Oskar Andreasson sobre IP Tables (http://www.linuxsecurity.com/feature_stories/


feature_story-94.html) Oskar Andreasson habla con LinuxSecurity.com acerca de su tutorial completo sobre IP Tables y cmo se puede utilizar este documento para construir un cortafuegos robusto para
su organizacin.

Hal Burgiss presenta Guas rpidas para la seguridad en Linux (http://www.linuxsecurity.com/feature_


stories/feature_story-93.html) Hal Burgiss ha escrito dos guas que son autoridad en la materia
sobre como hacer que Linux sea ms seguro, que incluyen la administracin de un cortafuegos.

La pgina web sobre Netfilter (http://netfilter.samba.org) La pgina principal de netfilter/iptables.

El cortafuegos del ncleo Linux 2.4 madura: netfilter (http://www.linuxsecurity.com/feature_stories/


kernel-netfilter.html) Este artculo de LinuxSecurity.com describe las bases del filtrado de paquetes,
cmo comenzar a utilizar iptables, y una lista de caractersticas nuevas disponibles en la ltima generacin
de cortafuegos para Linux.

11.8.14. VPN - Red privada virtual


Las VPN son una forma de establecer una red virtual encima de alguna red ya existente. Esta red virtual
por lo general est cifrada y pasa el trfico slo hacia y desde algunas entidades conocidas que se han unido a
la red. Comnmente se usan las VPN para conectar a alguien que trabaja desde su hogar a la red interna de la
compaa por medio de Internet pblica.

167

Captulo 11. Seguridad bajo GNU/Linux


Si est corriendo un cortafuegos GNU/Linux de enmascaramiento y necesita pasar paquetes MS PPTP (el producto de VPN punto a punto de Microsoft), hay un parche para el ncleo de GNU/Linux justamente para hacer
eso. Consulte ip-masq-vpn (ftp://ftp.rubyriver.com/pub/jhardin/masquerade/ip_masq_vpn.html).
Hay varias soluciones disponibles para VPN en GNU/Linux :

vpnd. Consulte sunsite.auc.dk (http://sunsite.auc.dk/vpnd/).

Free S/Wan, disponible en el sitio web de Free S/Wan (http://www.xs4all.nl/~freeswan/)

SSH se puede utilizar para construir una VPN. Ver el mini-COMO sobre VPN para mayor informacin.

vps (servidor privado virtual) en strongcrypto (http://www.strongcrypto.com).

vtun (tnel virtual) en sourceforge (http://vtun.sourceforge.net/).

yavipin (http://yavipin.sourceforge.net).

Vea tambin la seccin sobre IPSEC para referencias y ms informacin.

11.9. Preparaci
on para la seguridad (antes que Usted vaya en lnea)
Bueno, entonces ha verificado todo su sistema, y ha determinado que es seguro y conveniente, y est listo para
ponerlo en lnea. Ahora bien, hay algunas cosas que debera saber para prepararse para una intrusin, para
que pueda deshabilitar al intruso rpidamente, y recuperarse y seguir corriendo.

11.9.1. Haga una copia de respaldo completa de su computadora


La discusin de los mtodos y almacenamiento de copia de respaldo estn fuera del alcance de este captulo,
pero aqu tiene algunas palabras relacionadas con las copias de respaldo y la seguridad:
Si tiene menos de 650MB de datos para almacenar en una particin, una copia de sus datos en CD-R es una
buena forma de hacerlo (ya que es difcil su posterior manipulacin, y si se almacena adecuadamente puede
durar un tiempo largo); necesitar al menos 650MB de espacio para hacer la imagen, por supuesto. Las cintas
y otros medios que se pueden volver a escribir deberan protegerse contra escritura tan pronto como est
completa su copia de respaldo, y luego verificados para evitar su manipulacin. Asegrese de almacenar sus
copias de respaldo en un rea segura fuera de lnea. Una copia de respaldo buena le asegurar que tiene un
punto bueno conocido a partir del cual puede restaurar su sistema.

11.9.2. Eligiendo un buen ciclo de copia de respaldo


Un ciclo de seis cintas es fcil de mantener. Este incluye cuatro cintas para los das durante la semana, una
cinta para los viernes pares, y una cinta para los viernes impares. Realice una copia de respaldo incremental
cada da, y una copia de respaldo completa sobre la cinta de los viernes adecuada. Si realiza algunos cambios
particularmente importantes o agrega algunos datos importantes a su sistema, tambin podra ser necesaria
una copia de respaldo completa.

11.9.3. Probando sus copias de respaldo


Debera realizar pruebas peridicas de sus copias de respaldo para asegurarse que estn funcionando como
se espera. La restauracin de archivos y la verificacin contra los datos, tamaos y listados reales de copias de
respaldo, y la lectura de copias de respaldo antiguas se debera realizar regularmente.

168

Captulo 11. Seguridad bajo GNU/Linux

11.9.4. Copia de respaldo de su archivo de base de datos RPM


En caso de una intrusin, Usted puede usar su base de datos de RPM como usara a tripwire, pero slo si
Usted puede estar seguro de que esta tampoco ha sido modificada. Usted debera copiar la base de datos de
RPM a un disquete, y mantener esta copia fuera de lnea en todo momento.
Es muy probable que los archivos /var/lib/rpm/fileindex.rpm y /var/lib/rpm/packages.rpm no quepan
en un slo disquete. Pero si se comprimen, cada uno debera caber en un disquete separado.
Ahora, cuando su sistema est comprometido puede utilizar el comando:
root#

rpm -Va

para verificar cada archivo del sistema. Vea la pgina Man de rpm, ya que hay algunas otras opciones que se
pueden incluir para hacerlo menos verboso. Tenga presente que tambin debe asegurarse que su binario RPM
no ha sido comprometido.
Esto significa que cada vez que se agrega al sistema un RPM nuevo, se deber volver a archivar la base de
datos de RPM. Usted tendr que evaluar las ventajas y desventajas.

11.9.5. Mantenga registro de los datos de contabilidad de su sistema


Es muy importante que la informacin que viene desde syslog no haya sido comprometida. Hacer que slo
un nmero limitado de usuarios puedan leer y escribir los archivos en /var/log es un buen comienzo.
Debe asegurarse de observar lo que se escribe all, especialmente bajo la facilidad auth. Por ejemplo, mltiples
intentos de conexin fallidos, pueden indicar un intento de ingresar ilegalmente.
Usted querr mirar en /var/log y verificar messages, mail.log, y otros.
Tambin querra configurar su script de rotacin de registro para mantener los registros por ms tiempo, as
Usted tiene tiempo de examinarlos. Eche un vistazo a la pgina Man del comando logrotate.
Si se han manipulado sus archivos de registro, vea si puede determinar cuando se inici dicha manipulacin,
y qu tipo de cosas aparentan haber sido manipuladas. Hay perodos largos de tiempo que no se pueden
tener en cuenta? Es una buena idea verificar las cintas de copia de respaldo (si es que tiene alguna) en busca
de archivos no manipulados.
Tpicamente, los intrusos modifican los archivos de registro para cubrir sus pasos, pero todava estos se pueden verificar en busca de acontecimientos extraos. Usted puede notar al intruso intentando ganar acceso, o
explotando un programa para poder obtener la cuenta de root. Usted puede ver las entradas del registro antes
de que el intruso tenga el tiempo de modificarlas.
Tambin se debe asegurar de separar la facilidad auth de otros datos del registro, incluyendo los intentos de
cambiar usuarios usando su, intentos de conexin, y otra informacin de contabilidad de usuarios.
Si es posible, configure a syslog para enviar una copia de los datos ms importantes a un sistema seguro. Esto
evitar que un intruso cubra sus pasos borrando sus intentos de hacer login/su/ftp/etc. Vea la pgina Man
de syslog.conf, y consulte la opcin @.
Hay varios programas de syslogd ms avanzados all afuera. Eche un vistazo en core-sdi.com (http:
//www.core-sdi.com/ssyslog/) para Secure Syslog. Secure Syslog le permite cifrar sus entradas del registro de sistema y asegurarse de que nadie las ha manipulado.
Otro syslogd con ms opciones es syslog-ng (http://www.balabit.hu/en/downloads/syslog-ng.html). Le
permite un montn ms de flexibilidad en el proceso de registro y tambin puede cifrar sus flujos syslog
remotos para evitar la manipulacin de los mismos.
Finalmente, los archivos de registro son mucho menos tiles cuando nadie los est leyendo. Tmese algo de
tiempo de vez en cuando para revisar sus archivos de registro, y tener una idea de como lucen en un da
normal. Saber esto puede ayudar a hacer que las cosas poco comunes salten a la vista.

169

Captulo 11. Seguridad bajo GNU/Linux

11.9.6. Aplique todas las actualizaciones del sistema nuevas


Debido a la naturaleza del ritmo rpido de los arreglos de seguridad, siempre se estn sacando programas
nuevos (arreglados). Antes de conectar su mquina a la red, es una buena idea ejecutar MandrakeUpdate y
obtener todos los paquetes actualizados desde que Usted recibi el CD-ROM con su distribucin. Muchas
veces estos paquetes contienen arreglos de seguridad importantes, por lo tanto es una buena idea instalarlos.

11.10. Qu
e hacer durante y despu
es de un irrupci
on
As que ha seguido algunos de los consejos de aqu (o de algn otro lado) y ha detectado una irrupcin?
La primer cosa a hacer es mantener la calma. Las acciones apresuradas pueden causar ms dao que el que
hubiese causado el atacante.

11.10.1. Compromiso de seguridad en curso


Detectar un compromiso de seguridad en curso puede ser una tarea tensa. La forma en la que reaccione puede
tener consecuencias enormes.
Si el compromiso que est presenciando es fsico, es posible que haya detectado que alguien irrumpi en su
casa, oficina o laboratorio. Usted debera notificar a sus autoridades locales. En un laboratorio, Usted podr
haber detectado a alguien intentando abrir un gabinete o reiniciar una mquina. Dependiendo de su autoridad
y procedimientos, les puede pedir que se detengan, o contactar a su gente de seguridad local.
Si ha detectado a un usuario local intentando comprometer su seguridad, la primer cosa a hacer es confirmar
que, de hecho, ellos son quienes Usted cree que son. Verifique el sitio desde el cual se estn conectando. Es
este el sitio desde el cual ellos se conectan normalmente? No? Entonces use una forma no electrnica de
ponerse en contacto con ellos. Por ejemplo, llmelos por telfono y camine hasta su oficina/casa y hable con
ellos. Si ellos estn de acuerdo que estn conectados, Usted puede pedirles que expliquen que es lo que estn
haciendo o decirles que dejen de hacerlo. Si ellos no estn conectados, y no tienen idea de lo que est hablando,
es posible que este incidente requiera una investigacin ms profunda. Busque en tales incidentes, y tenga un
montn de informacin antes de hacer acusacin alguna.
Si ha detectado un compromiso de red, la primer cosa a hacer (si puede) es desconectar su red. Si ellos estn
conectados por medio de un mdem, desconecte el cable del mdem; si estn conectados por medio de Ethernet , desconecte el cable Ethernet . Esto evitar que ellos hagan un dao mayor, y probablemente lo vean
como un problema de la red en vez de una deteccin.
Si no puede desconectar la red (tiene un sitio ocupado, o no tiene control fsico de sus mquinas), el prximo
paso mejor es usar algo como tcp_wrappers o ipfwadm para negar el acceso desde el sitio del intruso.
Si no puede negar a toda la gente desde el mismo sitio en el que est el intruso, el trabar la cuenta del usuario tendr que ser suficiente. Note que trabar una cuenta no es una cosa fcil. tendr que tener presente los
archivos .rhosts, el acceso por FTP, y toda una cantidad de puertas traseras posibles.
Una vez que ha hecho algo de lo anterior (desconectado la red, negado el acceso desde su sitio, y/o deshabilitado su cuenta), necesita terminar a todos los procesos de ellos y desconectarlos.
Debera monitorear su sitio bien en los prximos minutos, ya que el atacante volver a intentar entrar. Tal vez
usando una cuenta diferente, y/o desde una direccin de red diferente.

11.10.2. El compromiso de seguridad ya ha ocurrido


As que Usted o ha detectado un compromiso que ya ha ocurrido o lo detect y (con suerte) trab al atacante
para que no pueda entrar a su sistema. Y ahora qu?
11.10.2.1. Tapando el hueco
Si puede determinar los medios que us el atacante para entrar en su sistema., debera intentar tapar ese hueco.
Por ejemplo, tal vez Usted ve varias entradas FTP justo antes que el usuario se haya conectado. Deshabilite el
servicio FTP y verifique si hay una versin actualizada, o si alguna de las listas sabe de un arreglo.

170

Captulo 11. Seguridad bajo GNU/Linux


Verifique todos sus archivos de registro, y haga una visita a sus listas y pginas de seguridad y vea si hay
alguna explotacin comn nueva que Usted pueda corregir. Puede encontrar las correcciones de seguridad de
su distribucin Mandrake Linux corriendo MandrakeUpdate regularmente.
Ahora existe un proyecto de auditora de seguridad de GNU/Linux . Ellos estn pasando metdicamente por
todos los utilitarios de espacio de usuario y buscando explotaciones de seguridad y desbordamientos posibles.
Del anuncio del mismo:
Estamos intentando una auditora sistemtica de los fuentes de GNU/Linux con vistas a que sea tan seguro
como OpenBSD . Ya hemos descubierto (y arreglado) algunos problemas, aunque ms ayuda es bienvenida. La
lista no est moderada y tambin es un recurso til para discusiones de seguridad generales. La direccin de
la lista es: security-audit@ferret.lmh.ox.ac.uk Para suscribirse, enve un correo electrnico a: securityaudit-subscribe@ferret.lmh.ox.ac.uk
Si Usted no traba al atacante para que no vuelva a ingresar, probablemente ellos volvern. No slo volvern
a su mquina, sino que volvern a algn lugar de su red. Si ellos estaban corriendo un sabueso de paquetes,
hay muchas posibilidades de que tengan acceso a otras mquinas locales.

11.10.2.2. Determinando el da
no
Lo primero es determinar el dao. Qu ha sido comprometido? Si est corriendo un verificador de integridad
como Tripwire , lo puede usar para realizar una verificacin de integridad; y debera ayudarle a decir que es
lo que se ha comprometido. Si no, Usted tendr que buscar entre todos sus datos importantes.
Dado que los sistemas GNU/Linux se estn volviendo ms y ms fciles de instalar, Usted podra considerar
guardar sus archivos de configuracin, borrar su(s) disco(s), volver a instalar, y luego restaurar los archivos
de sus usuarios y sus archivos de configuracin desde su copia de respaldo. Esto asegurar que Usted tiene
un sistema nuevo, limpio. Si tiene que respaldar archivos desde el sistema comprometido, tenga precaucin
especialmente con los binarios que restaura, ya que estos pueden ser Troyanos puestos all por el intruso.
Volver a instalar el sistema debera considerarse como obligatorio luego que un intruso obtuvo acceso como
root. Adicionalmente, Usted querra mantener cualquier evidencia que hay, por lo que puede tener sentido el
hecho de tener un disco aparte en la caja fuerte.
Luego tiene que considerar cuanto hace que ocurri el compromiso, y si las copias de respaldo contienen algn
trabajo daado. Ms sobre las copias de respaldo luego.

11.10.2.3. Backups, Backups, Backups!


Tener copias de respaldo regulares es un regalo divino para los temas de la seguridad. Si su sistema est
comprometido, Usted puede restaurar los datos que necesite desde las copias de respaldo. Algunos datos son
de valor para los atacantes tambin, por supuesto, y ellos no slo los destruirn, sino que tambin los robarn
y tendrn sus propias copias; pero al menos todava tendr los datos.
Debera verificar en varias copias de respaldo del pasado antes de restaurar un archivo que ha sido manipulado. El intruso puede haber comprometido sus archivos hace mucho tiempo, y puede que haya hecho muchas
copias de respaldo satisfactorias de los archivos comprometidos!
Por supuesto, tambin hay una cantidad enorme de cosas que conciernen a la seguridad de las copias de
respaldo. Asegrese de almacenarlas en un lugar seguro. Sepa quien tiene acceso a ellas. (Si un atacante puede
obtener sus copias de respaldo, ellos pueden tener acceso a todos sus datos incluso sin que Usted se entere.)

11.10.2.4. Sigui
endole la pista al intruso
Bueno, Usted ha trabado al intruso fuera de su sistema, y recuper su sistema, pero todava no ha terminado.
Aunque es poco probable que la mayora de los intrusos sean atrapados alguna vez, Usted debera reportar el
ataque.
Usted debera reportar el ataque al contacto administrativo del sitio desde el cual el atacante atac a su sistema.
Puede buscar este contacto con whois o la base de datos de Internic. Puede enviarles un correo electr
onico
con todas las entradas y fechas y horas del registro que correspondan. Si Usted descubri algo ms que distinga a su intruso, tambin podra mencionarlo. Luego de enviar el correo electr
onico , Usted debera (si es
que as lo prefiere) seguir con una llamada telefnica. Si, entonces, ese administrador descubre a su atacante, es
posible que ellos puedan hablar con el administrador del sitio desde donde ellos vienen y as sucesivamente.

171

Captulo 11. Seguridad bajo GNU/Linux


Los crackers buenos por lo general usan muchos sistemas intermedios, algunos (o muchos) de los cuales
incluso no deben saber que han sido comprometidos. Intentar seguirle la pista a un cracker hasta su hogar
puede ser difcil. El ser amable con los administradores con los cuales habla puede ser de muy til para
obtener ayuda de ellos.
Tambin debera notificar a cualquier organismo de seguridad de los que Usted es parte (el CERT (http:
//www.cert.org/) o similar), as como tambin a MandrakeSoft (http://www.mandrakesecure.net/en/).

11.11. Fuentes sobre seguridad


All afuera hay un montn de sitios buenos sobre la seguridad de los sistemas UNIX en general y de GNU/Linux
en particular. Es muy importante suscribirse a una (o ms) de las listas de correo sobre seguridad y mantenerse
actualizado con los arreglos de seguridad. La mayora de estas listas son de bajo volumen, y muy informativas.

11.11.1. Referencias de LinuxSecurity.com


El sitio web LinuxSecurity.com tiene varias referencias de seguridad sobre Linux y el cdigo abierto escritas
por el personal de LinuxSecurity y personas de manera colectiva alrededor del mundo.

Linux Advisory Watch (http://www.linuxsecurity.com/vuln-newsletter.html) Un boletn completo


que delinea las vulnerabilidades de seguridad que se han anunciado en el transcurso de la semana. Incluye
referencias a paquetes actualizados y descripciones de cada vulnerabilidad.

Linux Security Week (http://www.linuxsecurity.com/newsletter.html) El propsito de este documento es brindar a nuestros lectores un resumen rpido de los titulares ms relevantes de cada semana con
respecto a la seguridad en Linux.

Linux Security Discussion List (http://www.linuxsecurity.com/general/mailinglists.html) Este lista de distribucin de correo es para preguntas y comentarios generales relacionados con la seguridad.

Linux Security Newsletters (http://www.linuxsecurity.com/general/mailinglists.html) Informacin de suscripcin para todos los boletines.

comp.os.linux.security FAQ (http://www.linuxsecurity.com/docs/colsfaq.html) Preguntas Formuladas con Frecuencia con respuestas para el grupo de noticias comp.os.linux.security.

Linux Security Documentation (http://www.linuxsecurity.com/docs/) Un gran punto de partida para


informacin que concierne a la seguridad de Linux y del Cdigo Abierto.

11.11.2. Sitios FTP


CERT es el Computer Emergency Response Team (Equipo de Respuesta de Emergencias de Computadoras). Ellos
envan seguido alertas de los ataques y arreglos corrientes. Para mayor informacin consulte cert.org (ftp:
//ftp.cert.org).
ZEDZ (anteriormente Replay) (http://www.zedz.net (http://www.zedz.net)) tiene archivos de muchos programas de seguridad. Debido a que ellos estn fuera de EE.UU., no necesitan obedecer a las restricciones
criptogrficas de EE.UU.
Matt Blaze es el autor de CFS y un gran entusiasta de la seguridad. El archivo de Matt est disponible en:
att.com (ftp://ftp.research.att.com/pub/mab)
tue.nl es un gran sitio FTP sobre seguridad en Holanda. tue.nl (ftp://ftp.win.tue.nl/pub/security/)

11.11.3. Sitios web

The Hacker FAQ son las preguntas formuladas con frecuencia acerca de los hackers: The Hacker FAQ (http:
//www.plethora.net/~seebs/faqs/hacker.html)

El archivo COAST tiene una gran cantidad de programas UNIX relacionados con la seguridad e informacin:
COAST (http://www.cerias.purdue.edu/coast/)

172

Captulo 11. Seguridad bajo GNU/Linux

La pgina sobre seguridad de SuSe: suse.de (http://www.suse.de/security/)

Rootshell.com es un gran sitio para ver cuales explotaciones estn usando los crackers actualmente:
http://www.rootshell.com/ (http://www.rootshell.com/)

BUGTRAQ publica advertencias sobre temas relacionados con la seguridad: los archivos de BUGTRAQ (http:
//online.securityfocus.com/archive/1)

CERT, el Equipo de Respuesta de Emergencias de Computacin, publica advertencias sobre ataques comunes en las plataformas UNIX : Pgina principal de CERT (http://www.cert.org/)

Dan Farmer es el autor de SATAN y muchas otras herramientas de seguridad. Su sitio tiene alguna informacin interesante relacionada con la seguridad, as como tambin herramientas de seguridad: trouble.org
(http://www.trouble.org)

El sitio WWW sobre seguridad en GNU/Linux es un buen lugar para buscar informacin relacionada con la
seguridad en GNU/Linux : Linux Security WWW (http://www.aoy.com/Linux/Security/)

Infilsec tiene un motor de vulnerabilidad que le dice como afectan las vulnerabilidades a una plataforma
especfica: infilsec.com (http://www.infilsec.com/vulnerabilities/)

CIAC enva boletines de seguridad peridicos sobre las explotaciones comunes: ciac.llnl.gov (http://ciac.
llnl.gov/cgi-bin/index/bulletins)

Se puede encontrar un buen punto de partida para los Mdulos de autenticacin enchufables en kernel.org
(http://www.kernel.org/pub/linux/libs/pam/).

Las FAQ sobre seguridad en WWW, escritas por Lincoln Stein, son una referencia de seguridad grande en
la web. Encuntrelas en w3.org (http://www.w3.org/Security/Faq/www-security-faq.html)

11.11.4. Listas de correo


La lista de seguridad sobre Mandrake Linux: Usted puede informarse sobre cada correccin de seguridad si
se suscribe a nuestra lista de correos sobre seguridad (http://www.mandrakesecure.net/en/mlist.php).
Bugtraq: Para suscribirse a bugtraq, enve un correo electrnico a listserv@netspace.org conteniendo en el
cuerpo del mensaje lo siguiente: subscribe bugtraq. (ver los vnculos de arriba para los archivos)
CIAC: Enve un correo electrnico a majordomo@tholia.llnl.gov. En el cuerpo del mensaje (no en el tema)
ponga: subscribe ciac-bulletin

11.11.5. Libros Material de lectura impreso


Existe una cantidad de libros buenos sobre seguridad all afuera. Esta seccin lista algunos de ellos. Adems
de los libros especficos sobre seguridad, la seguridad se cubre en una cantidad de otros libros sobre administracin del sistema.

Referencias

D. Brent Chapman, Elizabeth D. Zwicky, Building Internet Firewalls, 1st Edition September 1995, ISBN 1-56592124-0.
Simson Garfinkel, Gene Spafford, Practical UNIX & Internet Security, 2nd Edition April 1996, ISBN 1-56592148-8.
Deborah Russell, G.T. Gangemi, Sr., Computer Security Basics, 1st Edition July 1991, ISBN 0-937175-71-4.
Olaf Kirch, Linux Network Administrators Guide, 1st Edition January 1995, ISBN 1-56592-087-2.
Simson Garfinkel, PGP: Pretty Good Privacy, 1st Edition December 1994, ISBN 1-56592-098-8.
David Icove, Karl Seger, William VonStorch, Computer Crime A Crimefighters Handbook, 1st Edition August
1995, ISBN 1-56592-086-4.

173

Captulo 11. Seguridad bajo GNU/Linux


John S. Flowers, Linux Security, New Riders, March 1999, ISBN 0735700354.
Anonymous, Maximum Linux Security : A Hackers Guide to Protecting Your Linux Server and Network, July 1999,
ISBN 0672313413.
Terry Escamilla, Intrusion Detection, John Wiley and Sons, September 1998, ISBN 0471290009.
Donn Parker, Fighting Computer Crime, John Wiley and Sons, September 1998, ISBN 0471163783.

11.12. Preguntas formuladas con frecuencia (FAQ)


P: Es ms seguro compilar el soporte de un controlador directamente en el ncleo en vez de hacerlo como un
mdulo?
R: Algunas personas creen que es mejor deshabilitar el posibilidad de cargar controladores de dispositivos
utilizando mdulos, debido a que un intruso podra cargar un mdulo Troyano y un mdulo que podra
afectar la seguridad del sistema.
Sin embargo, para poder cargar mdulos, Usted debe ser root. Tambin es slo root quien puede escribir los
archivos objeto de los mdulos. Esto significa que el intruso necesitara acceso de root para poder insertar
un mdulo. Si el intruso gana acceso de root hay muchas cosas ms serias de las que preocuparse de que si
cargar o no un mdulo.
Los mdulos son para cargar dinmicamente el soporte para un dispositivo en particular que puede utilizarse
con poca frecuencia. En las computadoras servidor, o por ejemplo, los cortafuegos, es muy poco probable que
ocurra esto. Es por esto, que tendra ms sentido compilar el soporte directamente dentro del ncleo para las
mquinas con rol de servidor. Tambin los mdulos son ms lentos que el soporte compilado directamente en
el ncleo.

P: Por qu siempre falla la conexin como root desde una mquina remota?
R: Vea Seguridad de root , pgina 146. Esto se hace intencionalmente para evitar que los usuarios remotos
intenten conectarse por medio de telnet a su computadora como root que es una vulnerabilidad de seguridad seria, debido a que se transmitira la contrasea textual de root, a travs de la red. No lo olvide: los
intrusos potenciales tienen al tiempo de su lado, y pueden correr programas automatizados para averiguar su
contrasea. Adems, esto se hace para mantener un registro claro de quienes se conectaron, no slo root.
P: Cmo puedo habilitar las extensiones SSL de Apache ?
R: Simplemente instale el paquete mod_ssl, y consulte la documentacin en la pgina principal de mod_ssl
(www.modssl.org).

Tambien debera considerar el m


odulo mod_sxnet , que es un plugin para mod_ssl que permite la activaci
on de la Thawte Secure Extranet. mod_ssl cifra las comunicaciones, pero mod_sslsxnet va m
as lejos y permite autenticar al usuario de manera
segura en la p
agina web gracias a un certificado personal. Tiene m
as informaci
on acerca de esta aplicaci
on en Thawte (http:
//www.thawte.com/certs/strongextranet/) o instale el m
odulo mod_sxnet de su distribuci
on Mandrake y lea la documentaci
on
del paquete.

Tambon puede intentar ZEDZ net (http://www.zedz.net) que tiene muchos paquetes pre-construidos, y
est ubicado fuera de Estados Unidos.

174

P: Cmo puedo manipular las cuentas de los usuarios y todava as retener la seguridad?
R: Su distribucin Mandrake Linux contiene una gran cantidad de herramientas para cambiar las propiedades
de las cuentas de usuario.

Se pueden usar los programas pwconv y unpwconv para convertir entre contraseas shadow y no-shadow.

Se pueden usar los programas pwck y grpck para verificar la organizacin adecuada de los archivos /etc/
passwd y /etc/group.

Se pueden usar los programas useradd, usermod, y userdel para aadir, borrar y modificar cuentas de
usuario. Los programas groupadd, groupmod, y groupdel harn lo mismo para los grupos.

Se pueden crear contraseas de grupos utilizando gpasswd.

Todos estos programas soportan las contraseas shadow es decir, si las habilita, los programas utilizarn
/etc/shadow para la informacin de contraseas, en caso contrario no.

P: Cmo puedo proteger con contrasea documentos HTML especficos utilizando Apache ?
R: Apuesto que Usted no saba acerca de apacheweek.com (http://www.apacheweek.com), cierto?
Puede encontrar informacin sobre la autenticacin de usuarios en apacheweek punto com (http://www.
apacheweek.com/features/userauth) as como tambin otros consejos de seguridad sobre servidores web en
Apache (http://www.apache.org/docs/misc/security_tips.html)

11.13. Conclusi
on
Suscribindose a las listas de correo de alertas de seguridad y mantenindose actualizado, puede hacer un
montn en pos de asegurar su mquina. Incluso puede hacer ms si presta atencin a sus archivos de registro
y ejecuta algo como tripwire regularmente.
No es difcil mantener un nivel razonable de seguridad de computadoras en una mquina hogarea. Se necesita mayor esfuerzo para las mquinas de negocios, pero GNU/Linux puede sin lugar a dudas, ser una plataforma segura. Debido a la naturaleza del desarrollo de GNU/Linux , los arreglos de seguridad generalmente
estn disponibles ms rpido que lo que estn en los sistemas operativos comerciales, haciendo de GNU/Linux
una plataforma ideal cuando la seguridad es un requisito.

T
erminos relacionados con la seguridad
Debajo se incluyen varios trminos de los ms utilizados en la seguridad de computadoras. En LinuxSecurity.com (http://www.linuxsecurity.com/dictionary/) est disponible un diccionario completo de trminos relacionados con la seguridad de computadoras.
autenticacin
El proceso de saber que los datos recibidos son los mismos que los datos que se han enviado, y que quien
dice ser el remitente es, de hecho, quien realmente los envi.
Bastin, host bastin
Un sistema de computadora que debe ser altamente asegurado porque es vulnerable a los ataques, usualmente porque est expuesto a la Internet y es el punto de contacto principal para los usuarios de las redes
internas. Toma su nombre de los proyectos altamente fortificados en las paredes externas de los castillos
medievales. Los bastiones vigilaban las reas crticas de defensa, y por lo general tenan paredes fuertes,
lugar para tropas extra, y el ocasionalmente til caldero lleno de aceite hirviendo para desalentar a los
atacantes.

175

Trminos relacionados con la seguridad


buffer, desbordamiento del
El estilo comn de escribir cdigo es nunca asignar buffers suficientemente grandes, y no verificar por
desbordamientos. Cuando dichos buffers se desbordan, el programa en ejecucin (demonio o programa
set-uid) puede ser engaado para hacer algunas otras cosas. Generalmente esto funciona sobreescribiendo la direccin de retorno de una funcin en la pila para que apunte a otra ubicacin.
Denegacin de servicio (DoS)
Un ataque que consume los recursos de su computadora para cosas que no se supone que debe hacer,
por lo tanto evita el uso normal de los recursos de su red para propsitos legtimos.
dual-homed Host
Una computadora de propsito general que tiene al menos dos interfaces de red.
firewall (cortafuegos)
Un componente o conjunto de componentes que restringe el acceso entre una red protegida y la Internet,
o entre otros conjuntos de redes.
host
Una computadora conectada a una red.
IP spoofing (robo de IP)
IP Spoofing es un ataque tcnico complejo que est conformado por varios componentes. Es una explotacin de seguridad que funciona engaando a las computadoras en una relacin de confianza para que
crean que Usted es alguien que realmente no es. Hay un artculo extenso escrito por daemon9, route, e
infinity en el Volumen Siete, Edicin Cuarenta y ocho de Phrack Magazine.
no repudio
La propiedad que tiene un destinatario de poder probar que el remitente de algunos datos, de hecho ha
enviado los datos incluso cuando el remitente pueda negar ms tarde el hecho de haberlos enviado.
paquete
La unidad fundamental de comunicacin en la Internet.
paquetes, filtrado de
La accin que toma un dispositivo de controlar selectivamente el flujo de datos desde y hacia una red. Los
filtros de paquetes permiten o bloquean a los paquetes, generalmente mientras los rutean desde una red
a otra (lo ms usual es desde la Internet a un red interna y vice-versa) Para lograr el filtrado de paquetes,
Usted configura reglas que especifican los tipos de paquetes (aquellos hacia o desde una direccin IP o
un puerto en particular) que se van a permitir y los que se van a bloquear.
perimetral, red
Una red agregada entre una red protegida y una red externa, para proporcionar una capa de seguridad
adicional. Una red perimetral a veces se denomina una DMZ (Zona DesMilitarizada)
proxy, servidor
Un programa que trata con los servidores externos en nombre de los clientes internos. Los clientes proxy
se comunican con los servidores proxy, los que relevan los pedidos aprobados de los clientes a los servidores reales, y relevan las respuestas de vuelta a los clientes.
superusuario
Un nombre informal para root.

176

Captulo 12. Generalidades sobre redes


12.1. Copyright
Este captulo est basado en un COMO por Joshua D. Drake {POET} cuyo original est almacenado en el sitio
web LinuxPorts.com/ (http://www.linuxports.com/).
La informacin sobre como configurar e instalar el soporte para redes en GNU/Linux de los NET-3/4-COMO , y
Networking-COMO Copyright (c) 1997 Terry Dawson, 1998 Alessandro Rubini, 1999 Joshua D. Drake {POET} thelinuxreview.com/ (http://www.thelinuxreview.com/) son documentos LIBRES. Usted los puede volver
a distribuir bajo los trminos de la Licencia Pblica General GNU.
Modificaciones a partir de la versin v1.6.9, 3 de julio de 2000, (C)opyright 2000 - 2002 MandrakeSoft

12.2. C
omo usar este captulo
Este documento est organizado de arriba hacia abajo. Las primeras secciones incluyen material informativo
que Usted puede obviar si no est interesado; luego sigue una discusin genrica de los temas de red, y Usted
debe asegurarse de entender esto antes de continuar con las partes ms especficas. El resto, informacin especfica de la tecnologa, est agrupado en tres secciones principales: Informacin relacionada con Ethernet e
IP, las tecnologas pertinentes a un amplio rango de hardware de PC y las tecnologas raramente usadas.
Por lo tanto, se sugiere leer este documento de la manera siguiente:
Leer las secciones genricas
Estas secciones se aplican a toda, o casi toda, tecnologa descripta ms adelante y, por lo tanto, es muy
importante que Usted las entienda. Por otro lado, es de esperar que muchos de los lectores ya tengan
conocimientos sobre el tema.
Considerar su red
Debera saber cmo est, o estar diseada su red y exactamente qu tipos de hardware y tecnologas va
a implementar.
Leer la seccin Informacin sobre Ethernet, pgina 184 si posee una conexin directa con una red LAN o con la
Internet
Esta seccin describe la configuracin bsica de Ethernet y las distintas caractersticas que ofrece
GNU/Linux para las redes IP, como los cortafuegos, el ruteo avanzado, y as sucesivamente.
Leer la seccin siguiente si Usted est interesado en redes locales de bajo costo o conexiones de acceso telefnico
La seccin describe PLIP, PPP, SLIP, y RDSI, tecnologas ampliamente usadas en estaciones de trabajo
personales.
Leer las secciones especficas a la tecnologa relacionadas con sus requisitos
Si sus necesidades difieren de IP y/o de hardware comn, la seccin final cubre los detalles especficos a
protocolos no-IP y hardware de comunicaciones peculiar.
Realizar el trabajo de configuracin
Debera intentar llevar a cabo la configuracin de su red y tomar nota con cuidado de cualquier problema
que se le presente.
Buscar ms ayuda si es necesario
Si Usted experimenta problemas que este documento no le ayuda a resolver, entonces lea la seccin relacionada con donde obtener ayuda o donde reportar los errores.

177

Captulo 12. Generalidades sobre redes


Divertirse!
Las redes son divertidas, disfrtelas.

12.2.1. Convenciones usadas en este documento


Aqu no se usa convencin especial alguna, pero debemos advertirle acerca de la manera en la que se muestran
los comandos. Siguiendo la documentacin UNIX clsica, cualquier comando que Usted debe teclear en su
shell est precedido por un prompt. Aqu usamos usuario% para el mismo para los comandos que no
necesitan de los privilegios del superusuario, y root# para los comandos que necesitan ejecutarse como
root. Elegimos usar root# en vez de un simple # para evitar confusiones con las instantneas de las
pantallas de los scripts del shell , donde se usa la almohadilla para definir lneas de comentarios.
Cuando se muestran las Opciones de compilacin del ncleo, estas se representan en el formato que usa
menuconfig. Las mismas deberan ser comprensibles incluso si Usted (al igual que nosotros) no est acostumbrado a menuconfig. Si tiene dudas sobre el anidado de las opciones, ejecutar el programa una vez no va a
hacer ms que ayudar.

12.3. Informaci
on general acerca de las redes en Linux
12.3.1. Recursos sobre redes en Linux
Existe una cantidad de lugares donde Usted puede encontrar informacin buena sobre las redes en GNU/Linux .
Existe una cantidad enorme de consultores. Se puede encontrar una lista con capacidades de bsqueda en el
sitio web thelinuxreview.com (http://www.thelinuxreview.com/).
Alan Cox, quien en estos momentos mantiene el cdigo de redes del ncleo de GNU/Linux , tiene una pgina
web que contiene las ltimas novedades sobre los desarrollos corrientes y nuevos en el soporte de GNU/Linux
para redes en: uk.linux.org (http://www.uk.linux.org/NetNews.html).
Hay un foro de discusin en la jerarqua de noticias linux dedicado a las redes y temas relacionados en:
comp.os.linux.networking (news:comp.os.linux.networking)
Hay una lista de distribucin de correos a la que Usted se puede suscribir donde puede formular preguntas
relacionadas con las redes en GNU/Linux . Para suscribirse debera enviar un mensaje de correo electrnico
como el siguiente:
A: majordomo@vger.rutgers.edu
Asunto: cualquier cosa
Mensaje:
subscribe linux-net

Por favor, recuerde que cuando reporte cualquier problema debe incluir tanto detalle relevante acerca del
mismo como pueda. Especficamente, Usted debera aclarar las versiones de software que est utilizando, en
especial la versin del ncleo, la versin de herramientas tales como pppd o dip y la naturaleza exacta del
problema que Usted est experimentando. Esto significa tomar nota de la sintaxis exacta de cualquier mensaje
de error que Usted reciba y de cualquier comando que Usted est ingresando.

12.3.2. Donde obtener alguna informaci


on sobre redes no especfica a Linux
Generalmente, si Usted est buscando alguna informacin de tutorial bsica sobre redes TCP/IP, entonces
recomendamos que eche un vistazo a los documentos siguientes:
Introduccin a TCP/IP
Este documento viene tanto en una versin de texto (ftp://athos.rutgers.edu/runet/tcp-ip-intro.
doc) como en una versin PostScript (ftp://athos.rutgers.edu/runet/tcp-ip-intro.ps).

178

Captulo 12. Generalidades sobre redes


Administracin de TCP/IP
Este documento viene tanto en una versin de texto (ftp://athos.rutgers.edu/runet/tcp-ip-admin.
doc) como en una versin PostScript (ftp://athos.rutgers.edu/runet/tcp-ip-admin.ps).
Si Usted est buscando algo de informacin ms detallada sobre las redes TCP/IP, entonces es altamente
recomendable:
Internetworking with TCP/IP, Volume 1: principles, protocols and architecture, por Douglas E. Comer,
ISBN 0-13-227836-7, publicaciones Prentice Hall, Tercera Edicin, 1995.
Si Usted desea aprender a escribir aplicaciones de red en un entorno compatible con los sistemas UNIX , entonces tambin es altamente recomendable:
Unix Network Programming, por W. Richard Stevens, ISBN 0-13-949876-1, publicaciones Prentice Hall,
1990.
Est apareciendo en los escaparates de las libreras una segunda edicin, el libro nuevo est compuesto por
tres volmenes: vea el sitio web de Prentice-Hall (http://www.phptr.com/) para mayor informacin.
Tambin puede intentar con el foro de discusin comp.protocols.tcp-ip (news:comp.protocols.tcp-ip).
Una fuente importante de informacin tcnica especfica relacionada con Internet y el conjunto de protocolos
TCP/IP son las RFC. RFC es un acrnimo de Request For Comments (Pedido de comentarios) y es la manera
estndar de enviar y documentar los estndares de los protocolos de Internet. Existen muchos repositorios de
RFC. Muchos de estos sitios son sitios FTP y otros proporcionan acceso por web con un motor de bsqueda
asociado que le permite buscar claves particulares en la base de datos de las RFC.
Una fuente posible para las RFC est en La base de datos Nexor de RFC (http://pubweb.nexor.co.uk/
public/rfc/index/rfc.html).

12.4. Informaci
on gen
erica sobre la configuraci
on de redes
Usted deber conocer y comprender las secciones siguientes muy bien, antes de intentar realmente configurar
su red. Hay principios fundamentales que se aplican sin importar la naturaleza exacta de la red que desea
desplegar.

12.4.1. Qu
e necesito para comenzar?
Antes de comenzar a construir o configurar su red necesitar algunas cosas. De estas, las ms importantes son:
12.4.1.1. C
odigo fuente del n
ucleo corriente (Opcional)

Su distribuci
on Mandrake Linux viene con la parte de redes habilitada, por lo tanto puede ser que no necesite volver a compilar
el n
ucleo. Si Usted est
a corriendo sobre hardware bien conocido,
debera estar bien. Por ejemplo: tarjeta de red 3COM, NE2000,
o Intel. Sin embargo, se le proporciona la informaci
on siguiente si
Usted se encuentra en una posici
on tal que necesita actualizar su
n
ucleo.

Dado que el ncleo que est corriendo puede no tener soporte para los tipos de redes o de tarjetas que desea
utilizar, probablemente necesite el cdigo fuente del ncleo de forma tal de poder volver a compilar el ncleo
con las opciones apropiadas.
Sin embargo, en tanto y en cuanto Usted se mantenga con el hardware ms comn, no debera tener la necesidad de volver a compilar el ncleo a menos que tenga necesidad de una caracterstica o funcin muy
especifica.
Siempre puede obtener el cdigo fuente de la ltima versin del ncleo desde sunsite.unc.edu (ftp://
sunsite.unc.edu/pub/linux/kernel.org/pub/linux/kernel). Este no es el sitio oficial pero ellos tienen un
MONTN de ancho de banda y capacidad. El sitio oficial es kernel.org (ftp.kernel.org) pero, por favor, si
puede use el sitio anterior. Recuerde que este sitio est bajo una sobrecarga seria. Use un sitio de rplica.

179

Captulo 12. Generalidades sobre redes


Normalmente, el cdigo fuente del ncleo se desarchivar en el directorio /usr/src/linux. Para informacin
sobre como aplicar los parches y construir el ncleo, Usted debera leer el COMO sobre el ncleo (http://
linuxdoc.org/HOWTO/Kernel-HOWTO.html). Para informacin sobre como configurar los mdulos del ncleo,
Usted debera leer Modules mini-HOWTO. Tambin el archivo README que se encuentra en los fuentes del
ncleo y el directorio Documentation son muy informativos para el lector avezado.
A menos que especficamente se diga lo contrario, se recomienda que se quede con la revisin estndar del
ncleo (la que tiene un nmero par como segundo dgito en el nmero de versin del ncleo). Las revisiones
de desarrollo del ncleo (aquellas que tienen un segundo dgito impar) pueden sufrir cambios estructurales
u otros que pueden causar problemas con el resto del software en su sistema. Si no est seguro de poder
resolver esos tipos de problemas adems del potencial de que existan otros errores de software, entonces no
use las versiones de desarrollo del ncleo.

12.4.1.2. Direcciones IP, una explicaci


on
Las direcciones del protocolo de Internet (IP) se componen de cuatro bytes1. La convencin es escribir las
direcciones en lo que se denomina notacin decimal punteada. En esta forma, cada byte se convierte a un
nmero decimal (0-255) descartando cualquier cero a la izquierda a menos que el nmero sea cero y escrito
con cada byte separado por un .. Por convencin cada interfaz de un host o router tiene una direccin IP.
En algunas circunstancias est permitido usar la misma direccin IP para cada interfaz de una mquina nica,
pero generalmente, cada interfaz tendr su propia direccin.
Las redes de protocolo de Internet son secuencias contiguas de direcciones IP. Todas las direcciones dentro de
una red tienen una cantidad de dgitos en comn. La porcin de la direccin que es comn entre las direcciones
de una red se denomina la porcin de la red de la direccin. Los nmeros restantes se denominan la porcin
del host. El nmero de bits que estn compartidos por todas las direcciones dentro de una red se denomina
la mscara de red y es su rol determinar cuales direcciones pertenecen a la red a las que se aplica y cuales
no. Por ejemplo, considere lo siguiente:
Direcci
on del host

192.168.110.23

Mscara de red

255.255.255.0

Poricin de red

192.168.110.

Porcin del host

.23

Direccin de red

192.168.110.0

Direccin de difusin

192.168.110.255

Cualquier direccin a la cual se la aplique un AND lgico bit a bit con su mscara de red revelar la direccin
de la red a la cual pertenece. Por lo tanto la direccin de red siempre es aquella con el menor nmero dentro
del rango de direcciones de la red y siempre tiene la porcin del host de la direccin codificada como todos
ceros.
La direccin de difusin es una direccin especial sobre la cual cada host de la red escucha adems de su propia
direccin nica. Esta direccin es a la cual se envan los datagramas si cada host de la red debe recibirlos.
Ciertos tipos de datos como, por ejemplo, la informacin de ruteo y los mensajes de advertencia se transmiten
a la direccin de difusin de forma tal que cada host de la red lo pueda recibir simultneamente. Existen dos
estndares comnmente usados para cual debera ser la direccin de difusin. El ms ampliamente aceptado
es usar la direccin de la red ms alta posible como la direccin de difusin. En el ejemplo de arriba esta sera
192.168.110.255. Por alguna razn otros sitios han adoptado la convencin de usar la direccin de red como
la direccin de difusin. En la prctica no importa mucho cual direccin use, pero Usted debe asegurarse que
cada host de la red est configurado con la misma direccin de difusin.
Por razones administrativas hace tiempo cuando recin empezaba el desarrollo del protocolo IP algunos grupos de direcciones arbitrarios se convirtieron en redes y estas redes se agruparon en lo que se denominan
clases. Estas clases proporcionan una cantidad de redes de tamao estndar que se podran asignar. Los rangos asignados son:

1.

180

Para la versin 4 de IP tambin conocida como IPv4.

Captulo 12. Generalidades sobre redes


Clase de red

M
ascara de red

Direcciones de red

255.0.0.0

0.0.0.0 - 127.255.255.255

255.255.0.0

128.0.0.0 - 191.255.255.255

255.255.255.0

192.0.0.0 - 223.255.255.255

Multicast

240.0.0.0

224.0.0.0 - 239.255.255.255

Las direcciones que debera usar dependen exactamente de que es lo que Usted est haciendo. Puede usar una
combinacin de las actividades siguientes para obtener todas las direcciones que necesita:
Instalar una mquina GNU/Linux en una red IP existente
Si Usted desea instalar una mquina GNU/Linux en una red IP existente, entonces debera contactar a
quienes administren la red y pedirles la informacin siguiente:

Direccin IP del host

Direccin IP de la red

Direccin IP de difusin

Mscara de red IP

Direccin del router

Direccin del Servidor de Nombres de Dominio (DNS)

Entonces, debera configurar su dispositivo de red GNU/Linux con esos detalles. Usted no puede inventarlos y pretender que su configuracin funcione.

Construyendo una red totalmente nueva que nunca se conectar a la Internet


Si est construyendo una red privada y nunca pretende conectar dicha red con la Internet entonces puede elegir cualquier direccin que guste. Sin embargo, por razones de seguridad y consistencia ha habido
algunas direcciones de red IP que se han reservado especficamente para este propsito. El RFC1597 especifica las mismas que son las siguientes:
Clase de red

M
ascara de red

Direcci
on de red

255.0.0.0

10.0.0.0 - 10.255.255.255

255.255.0.0

172.16.0.0 - 172.31.255.255

255.255.255.0

192.168.0.0 - 192.168.255.255

Tabla 12-1. Asignaciones reservadas de redes privadas


Primero debera decidir cuan grande desea que sea su red y luego elegir tantas direcciones como necesite.

12.4.2. Ruteo
El ruteo es un tema importante. Es posible escribir volmenes de texto enormes con facilidad. La mayora de
Ustedes tendrn requisitos de ruteo bastante simple, algunos de Ustedes no. Slo cubriremos algunas cosas
fundamentales bsicas acerca del ruteo. Si est interesado en informacin ms detallada, entonces le sugerimos
que consulte las referencias provistas al principio del documento.
Comencemos con una definicin. Qu es el ruteo de IP? Aqu est la que utilizamos:
El ruteo de IP es el proceso por el cual un host con mltiples conexiones de red decide dnde enviar los
datagramas IP que ha recibido.

181

Captulo 12. Generalidades sobre redes


Puede resultar til ilustrar esto con un ejemplo. Imagine un router tpico de oficina, puede tener un vnculo
PPP con la Internet, una cantidad de segmentos Ethernet alimentando las estaciones de trabajo y otro vnculo
PPP con otra oficina. Cuando el router recibe un datagrama en cualquiera de sus conexiones de red, el ruteo es
el mecanismo que utiliza para determinar cul es la prxima interfaz a la que debera enviar dicho datagrama.
Los hosts simples tambin necesitan rutear, todos los hosts de la Internet tienen dos dispositivos de red, uno
es la interfaz loopback descrita arriba y el otro es el que utiliza para comunicarse con el resto de la red, tal vez
una interfaz Ethernet, una PPP, una SLIP o una serie.
Bien, entonces cmo funciona el ruteo? Cada host mantiene una lista especial de reglas de ruteo, denominada
tabla de ruteo. Esta tabla contiene filas que, tpicamente, contienen al menos tres campos: el primero es una
direccin de destino, el segundo es el nombre de la interfaz a la cual se debe rutear el datagrama, y el tercero
es opcionalmente la direccin IP de otra mquina que llevar el datagrama a su prximo paso a travs de la
red. Con GNU/Linux Usted puede ver esta tabla utilizando el comando siguiente:
usuario% cat /proc/net/route

o utilizando cualquiera de los comandos siguientes:


usuario% /sbin/route -n
usuario% netstat -r

El proceso de ruteo es bastante simple: se recibe un datagrama entrante, se examina la direccin de destino
(para quin es) y se compara con cada entrada en la tabla. Se selecciona la entrada que coincide mejor con esa
direccin y se reenva el datagrama a la interfaz especificada. Si el campo de pasarela est completo, entonces
el datagrama se enva a ese host a travs de la interfaz especificada. De lo contrario, se asume que la direccin
de destino se encuentra en la red soportada por la interfaz.
12.4.2.1. Qu
e hace el programa Routed?
La configuracin de ruteo descrita arriba se ajusta mejor para los arreglos de red simples donde slo hay un
camino posible hacia un destino determinado. Cuando tiene un arreglo de red ms complejo, las cosas se
complican un poquito ms. Para la mayora de Ustedes, afortunadamente esto no ser un problema.
El problema grande con el ruteo manual o ruteo esttico como se describi es que si falla una mquina o
vnculo en su red, entonces la nica manera en la que Usted puede dirigir sus datagramas de otra forma, si es
que existe otra forma, es interviniendo y ejecutando los comandos apropiados manualmente. Naturalmente,
esto es poco eficiente, lento, poco prctico y tendiente a generar riesgos. Se han desarrollado varias tcnicas
para ajustar las tablas de ruteo automticamente en caso de fallas de la red donde existen rutas alternativas.
Todas estas tcnicas se agrupan ligeramente bajo el trmino protocolos de ruteo dinmico.
Usted puede haber escuchado de algunos de los protocolos de ruteo dinmico ms comunes. Los ms comunes probablemente sean RIP (Routing Information Protocol, Protocolo de informacin de ruteo) y OSPF (Open
Shortest Path First Protocol, Protocolo del camino abierto ms corto primero). RIP es muy comn en redes pequeas tales como las redes corporativas pequeas o medianas o las redes dentro de edificios. OSPF es ms
moderno y ms capaz de manejar configuraciones de redes grandes y ms apto para entornos donde hay una
gran cantidad de caminos posibles a travs de la red. Las implementaciones comunes de estos protocolos son:
routed RIP y gated - RIP, OSPF y otros. Normalmente el programa routed se suministra con su distribucin
GNU/Linux o est incluido en el paquete NetKit detallado arriba.
Un ejemplo de donde y como Usted podra utilizar un protocolo de ruteo dinmico se puede parecer a la
Figura 12-1.

182

Captulo 12. Generalidades sobre redes

eth0

eth0
192.168.2.0
255.255.255.0

192.168.1.0
255.255.255.0

ppp0

ppp0
ppp1

ppp1

ppp0

ppp1

eth0
192.168.3.0
255.255.255.0

Figura 12-1. Un ejemplo de ruteo dinmico

Tenemos tres routers A, B y C. Cada uno soporta un segmento Ethernet con una red IP de Clase C (mscara de
red 255.255.255.0). Cada router tambin tiene un vnculo PPP con alguno de los otros routers. La red forma
un tringulo.
Debera resultar claro que la tabla de ruteo del router A podra ser algo as como:
root# route add -net 192.168.1.0 netmask 255.255.255.0 eth0
root# route add -net 192.168.2.0 netmask 255.255.255.0 ppp0
root# route add -net 192.168.3.0 netmask 255.255.255.0 ppp1

Esto debera funcionar bien simplemente hasta que el vnculo entre el router A y el B falle. Si ese vnculo
fallase, entonces con la entrada de ruteo mostrada arriba, los hosts sobre el segmento Ethernet de A no pueden
alcanzar a los hosts sobre el segmento Ethernet de B porque su datagrama debera enviarse al vnculo ppp0
del router A el cual est roto. Todava podran continuar conversando con los hosts en el segmento Ethernet de
C y los hosts sobre el segmento Ethernet de C todava podran conversar con los hosts en el segmento Ethernet
de B porque el vnculo entre B y C todava est intacto.
Pero, espere. Si A puede hablar con C y C todava puede hablar con B, por qu A no debera rutear sus
datagramas para B a travs de C y dejar que C los enve a B? Esta es exactamente la clase de problemas para
los que se disearon los protocolos de ruteo dinmico como RIP. Si cada uno de los routers A, B y C estuvieran
corriendo un demonio de ruteo, entonces sus tablas de ruteo se ajustaran automticamente para reflejar el
nuevo estado de la red en el caso que alguno de los vnculos de la red falle. La configuracin de tal red es
simple, en cada router slo necesita hacer dos cosas. En este caso, para el router A:
root# route add -net 192.168.1.0 netmask 255.255.255.0 eth0
root# /usr/sbin/routed

El demonio de ruteo routed encuentra todos los puertos de red activos automticamente cuando se inicia y
enva y escucha mensajes en cada uno de los dispositivos de red para permitirle determinar y actualizar la
tabla de ruteo sobre el host.
Esta ha sido una explicacin muy breve sobre el ruteo dinmico y donde debera utilizarlo. Si desea ms
informacin entonces deber consultar la lista de referencias sugeridas el comienzo del documento.
Los puntos importantes relacionados con el ruteo dinmico son:

183

Captulo 12. Generalidades sobre redes


1. Slo necesita correr un demonio de protocolo de ruteo dinmico cuando su mquina GNU/Linux tiene la
posibilidad de seleccionar mltiples rutas posibles hacia un destino. Un ejemplo de esto sera si planifica
utilizar enmascarado de IP.
2. El demonio de ruteo dinmico modificar automticamente su tabla de ruteo para ajustarse a los cambios
en su red.
3. RIP es apto para redes pequeas a medianas.

12.5. Informaci
on sobre Ethernet
Esta seccin cubre informacin especfica para Ethernet y la configuracin de las tarjetas Ethernet.

12.5.1. Tarjetas Ethernet soportadas


12.5.1.1. 3Com

3Com 3c501 - (evtelas como a la plaga) (controlador 3c501);

3Com 3c503 (controlador 3c503), 3c505 (controlador 3c505), 3c507 (controlador 3c507), 3c509/3c509B (ISA)
/ 3c579 (EISA);

3Com Etherlink III Vortex (3c590, 3c592, 3c595, 3c597) (PCI), 3Com Etherlink XL Boomerang (3c900, 3c905)
(PCI) y Cyclone (3c905B, 3c980) (controlador 3c59x) y 3Com Fast EtherLink (3c515) (ISA) (controlador
3c515);

3Com 3ccfe575 Cyclone Cardbus (controlador 3c59x);

3Com serie 3c575 Cardbus (controlador 3c59x) (se deberan detectar la mayora de las tarjetas PCMCIA)

12.5.1.2. AMD, ATT, Allied Telesis, Ansel, Apricot

AMD LANCE (79C960) / PCnet-ISA/PCI (AT1500, HP J2405A, NE1500/NE2100);

ATT GIS WaveLAN;

Allied Telesis AT1700;

Allied Telesis LA100PCI-T;

Allied Telesyn AT2400T/BT (mdulo ne);

Ansel Communications AC3200 (EISA);

Apricot Xen-II / 82596.

12.5.1.3. Cabletron, Cogent, Crystal LAN

Cabletron E21xx;

Cogent EM110;

Crystal LAN CS8920, Cs8900.

184

Captulo 12. Generalidades sobre redes


12.5.1.4. Danpex, DEC, Digi, DLink

Danpex EN-9400;

DEC DE425 (EISA) / DE434/DE435 (PCI) / DE450/DE500 (controlador DE4x5);

DEC DE450/DE500-XA (dc21x4x) (controlador Tulip);

DEC DEPCA y EtherWORKS;

DEC EtherWORKS 3 (DE203, DE204, DE205);

DECchip DC21x4x Tulip;

DEC QSilver (controlador Tulip);

Digi International RightSwitch;

DLink DE-220P, DE-528CT, DE-530+, DFE-500TX, DFE-530TX.

12.5.1.5. Fujitsu, HP, ICL, Intel

Fujitsu FMV-181/182/183/184;

HP PCLAN (27245 y la serie 27xxx);

HP PCLAN PLUS (27247B y 27252A);

HP 10/100VG PCLAN (J2577, J2573, 27248B, J2585) (ISA/EISA/PCI);

ICL EtherTeam 16i / 32 (EISA);

Intel EtherExpress;

Intel EtherExpress Pro.

12.5.1.6. KTI, Macromate, NCR NE2000/1000, Netgear, New Media

KTI ET16/P-D2, ET16/P-DC ISA (trabaja sin jumpers y con la opcin de configuracin por hardware);

Macromate MN-220P (modo PnP o NE2000);

NCR WaveLAN;

NE2000/NE1000 (tenga cuidado con los clones);

Netgear FA-310TX (chip Tulip);

New Media Ethernet.

12.5.1.7. PureData, SEEQ, SMC

PureData PDUC8028, PDI8023;

SEEQ 8005;

SMC Ultra / EtherEZ (ISA);

SMC serie 9000;

SMC PCI EtherPower 10/100 (controlador DEC Tulip);

SMC EtherPower II (controlador epic100.c).

185

Captulo 12. Generalidades sobre redes


12.5.1.8. Sun Lance, Sun Intel, Schneider, WD, Zenith, IBM, Enyx

adpatadores Sun LANCE (ncleo 2.2 y posteriores);

adaptadores Sun Intel (ncleo 2.2 y posteriores);

Schneider & Koch G16;

Western Digital WD80x3;

Zenith Z-Note / controlador incorporado en la IBM ThinkPad 300;

Znyx 312 etherarray (controlador Tulip);

12.5.2. Informaci
on general sobre Ethernet
Los nombres de los dispositivos Ethernet son eth0, eth1, eth2, etc. A la primer tarjeta detectada por el ncleo
se le asigna eth0 y el resto se asigna secuencialmente en el orden en el cual se detectan.
Una vez que Usted tiene a su ncleo construido adecuadamente para soportar su tarjeta Ethernet la configuracin de la tarjeta es fcil.
Tpicamente, Usted usar algo como (la mayora de las distribuciones lo hacen por Usted si las configur para
soportar su tarjeta Ethernet):
root# ifconfig eth0 192.168.0.1 netmask 255.255.255.0 up
root# route add -net 192.168.0.0 netmask 255.255.255.0 eth0

La mayora de los controladores Ethernet fueron desarrollados por Donald Becker (mailto:becker@CESDIS.
gsfc.nasa.gov).

12.5.3. Usando dos o m


as tarjetas Ethernet en la misma m
aquina
Tpicamente el mdulo del controlador puede detectar todas las tarjetas instaladas.
La informacin sobre la deteccin se almacena en el archivo /etc/conf.modules.
Considere que un usuario tiene 3 tarjetas NE2000, una en 0x300, una en 0x240, y una en 0x220. Usted agregara
las lneas siguientes al archivo /etc/conf.modules:
alias eth0
alias eth1
alias eth2
options ne

ne
ne
ne
io=0x220,0x240,0x300

Lo que hace esto es decirle al programa modprobe que busque 3 tarjetas basadas en NE en las direcciones que
siguen. Tambin dice en qu orden se deberan encontrar y el dispositivo al cual se deberan asignar.
La mayora de los mdulos ISA pueden tomar valores de E/S separados por comas. Por ejemplo:
alias eth0 3c501
alias eth1 3c501
options eth0 -o 3c501-0 io=0x280 irq=5
options eth1 -o 3c501-1 io=0x300 irq=7

La opcin -o permite que se asigne un nombre nico a cada mdulo. La razn para esto es que Usted no puede
tener cargadas dos copias del mismo mdulo.
La opcin irq= se usa para especificar la IRQ del hardware y la opcin io= para especificar los distintos
puertos de E/S.
Predeterminadamente, el ncleo de GNU/Linux slo prueba un dispositivo Ethernet, Usted necesita pasarle al
ncleo argumentos de lnea de comandos para forzar la deteccin de ms tarjetas.

186

Captulo 12. Generalidades sobre redes


Para aprender cmo hacer que su(s) tarjeta(s) Ethernet funcione(n) bajo GNU/Linux debera consultar el COMO
sobre Ethernet (http://linuxdoc.org/HOWTO/Ethernet-HOWTO.html).

12.6. Informaci
on relacionada con IP
Estas secciones cubren informacin especfica a IP.

12.6.1. DNS
DNS significa Domain Name System (Sistema de Nombres de Dominio). Es el sistema responsable de hacer
corresponder el nombre de una mquina como www.mandrakesoft.com con la direccin IP de dicha mquina, 216.71.116.162 en este caso, al momento de escribir este documento. Con DNS la correspondencia est
disponible en ambas direcciones; del nombre a la direccin IP y viceversa.
El DNS se compone de una gran cantidad de mquinas por toda la Internet que son responsables de una
cierta cantidad de nombres. A cada mquina se le atribuye un servidor DNS al cual le pueden pedir que
haga corresponder un nombre en particular con la direccin del mismo. Si ese servidor no tiene la respuesta,
entonces le pregunta a otro y as sucesivamente. Tambin puede tener un DNS local responsable de hacer
coincidir direcciones en su red LAN.
Podemos diferenciar entre dos clases de DNS: servidor DNS de cach y servidor DNS maestro. El primero slo
recuerda una peticin anterior y luego puede contestarla sin preguntar otra vez a un servidor DNS maestro.
Los servidores de la ltima clase son los verdaderos responsables como ltimo recurso de hacer coincidir una
direccin con un nombre o posiblemente decir que este nombre no se corresponde con direccin alguna.

12.6.2. DHCP y DHCPd


DHCP es un acrnimo para Dynamic Host Configuration Protocol (Protocolo de configuracin dinmica del
host). La creacin de DHCP ha hecho que sea extremadamente simple la configuracin de la red en mltiples
hosts. En vez de tener que configurar cada host por separado, Usted puede asignar todos los parmetros
utilizados comnmente por los hosts utilizando un servidor DHCP.
Cada vez que el host arranca difundir un paquete a la red. Este paquete es una llamada a cualquier servidor
DHCP que se encuentre en el mismo segmento para que configure al host.
DHCP es extremadamente til en la asignacin de elementos tales como la direccin IP, la mscara de red, y
la pasarela de cada host.

12.7. Utilizando hardware com


un de PC
12.7.1. RDSI
La Red Digital de Servicios Integrados (RDSI, o ISDN por Integrated Services Digital Network es una serie de
normas que especifican una red digital de datos conmutada de propsito general. Una llamada RDSI crea
un servicio sincrnico de datos punto a punto con el destino. Por lo general, RDSI se entrega sobre un vnculo
de alta velocidad que se divide en una cantidad de canales discretos. Hay dos tipos de canales diferentes.
Los Canales B que son los que realmente transportan los datos del usuario y un nico canal denominado
Canal D que se usa para enviar informacin de control al intercambio RDSI, para establecer llamadas y para
otras funciones de control. Por ejemplo, en Australia, se puede entregar RDSI en un vnculo de 2Mbps que se
divide en 30 canales B discretos de 64Kbps con un canal D de 64Kbps. Se puede usar cualquier cantidad de
canales a la vez y en cualquier combinacin. Usted puede, por ejemplo, establecer 30 llamadas separadas a
30 destinos diferentes a 64Kbps cada una, o puede establecer 15 llamadas a 15 destinos diferentes a 128Kbps
(cada llamada usa dos canales), o simplemente hacer una cantidad pequea de llamadas y dejar el resto ocioso.
Un canal puede usarse tanto para llamadas entrantes como para llamadas salientes. La intencin original de
RDSI era permitir que las compaas de telecomunicaciones (las telefnicas, por ejemplo) proporcionen un
nico servicio de datos que poda entregar ya sea servicio telefnico (mediante la digitalizacin de la voz) o
servicios de datos a su hogar o negocio, sin necesidad de que Usted haga cambios de configuracin especiales
en sus instalaciones.

187

Captulo 12. Generalidades sobre redes


Existen algunas maneras diferentes de conectar a su computadora a un servicio RDSI. Una forma es usar
un dispositivo denominado Adaptador de Terminal que se conecta a la Unidad Terminadora de Red que
su proveedor de telecomunicaciones habr instalado cuando Usted obtuvo su servicio RDSI y presenta una
cantidad de interfaces serie. Una de esas interfaces se usa para ingresar comandos para establecer las llamadas
que usarn a los circuitos de datos cuando se establezcan las mismas. GNU/Linux funcionar con esta clase de
configuracin sin modificacin, simplemente Usted trata al puerto en el Adaptador de Terminal como tratara
a cualquier otro dispositivo serie. Otra forma, que es la forma para la que est diseado el soporte RDSI en
el ncleo, le permite instalar una tarjeta RDSI en su mquina GNU/Linux y entonces hace que su software
GNU/Linux maneje los protocolos y haga las llamadas por s mismo.
Opciones de compilacin del ncleo:
ISDN subsystem --->
<*> ISDN support
[ ] Support synchronous PPP
[ ] Support audio via ISDN
< > ICN 2B and 4B support
< > PCBIT-D support
< > Teles/NICCY1016PC/Creatix support

La implementacin de RDSI de GNU/Linux soporta una cantidad de tipos diferentes de tarjetas RDSI internas.
Estas son las que se listan en las opciones de configuracin del ncleo:

ICN 2B y 4B;

Octal PCBIT-D;

Tarjetas RDSI Teles y compatibles.

Algunas de estas tarjetas necesitan que se les baje un software para poder operar. Existe un utilitario aparte
con el cual se hace esto.
Estn disponibles detalles completos sobre como configurar el soporte para RDSI en GNU/Linux en el directorio /usr/src/linux/Documentation/isdn/ y en una FAQ dedicada a isdn4linux que est disponible
en www.lrz-muenchen.de (http://www.lrz-muenchen.de/~ui161ab/www/isdn/). (Puede hacer clic sobre la
bandera inglesa para obtener una versin en ingls).

Acerca de PPP. El conjunto de protocolos PPP operar


a ya sea sobre lneas serie sincr
onicas o asincr
onicas. el demonio PPP com
unmente distribuido con GNU/Linux , pppd, s
olo soporta el modo
asincr
onico. Si Usted desea correr los protocolos PPP sobre su servicio RDSI necesita una versi
on modificada especialmente. Los detalles sobre donde encontrarla est
an disponibles en la documentaci
on
referida arriba.

12.7.2. PLIP
Durante el desarrollo de las versiones 2.1 del ncleo, el soporte para el puerto paralelo se cambi a una
configuracin mejor.
Opciones de compilacin del ncleo:
General setup --->
[*] Parallel port support
Network device support --->
<*> PLIP (parallel port) support

188

Captulo 12. Generalidades sobre redes


El cdigo nuevo para PLIP se comporta como el viejo (usa los mismos comandos ifconfig y route como en
la seccin previa, pero la inicializacin del dispositivo es diferente debido al soporte para el puerto paralelo
avanzado.
El primer dispositivo PLIP siempre se denomina plip0, donde primero es el primer dispositivo detectado
por el sistema, de forma similar a lo que ocurre con los dispositivos Ethernet. El puerto paralelo real que se
usa es uno de los puertos disponibles, como se muestra en /proc/parport. Por ejemplo, si Usted slo tiene un
puerto paralelo, slo tendr un directorio denominado /proc/parport/0.
Si su ncleo no detect el nmero de IRQ usado por su puerto, insmod plip fallar; en este caso, simplemente
escriba el nmero adecuado en /proc/parport/0/irq y vuelva a invocar a insmod.
Est disponible informacin completa sobre la administracin del puerto paralelo en el archivo Documentation/
parport.txt, que es parte del cdigo fuente de su ncleo.

12.7.3. PPP
Debido a la naturaleza, el tamao y la complejidad de PPP, este ha sido movido a su propio COMO . El COMO sobre PPP todava es un documento del Proyecto de documentacin de Linux (http://www.linuxdoc.org) pero
la pgina oficial del mismo est en el sitio web thelinuxreview.com (http://www.thelinuxreview.com), seccin PPP (http://www.thelinuxreview.com/howto/ppp).

12.8. Otras tecnologas de red


Las sub-secciones siguientes son especficas de tecnologas de red particulares. La informacin que contienen
dichas secciones no se aplica necesariamente a cualquier otro tipo de tecnologa de red. Los temas se ordenan
alfabticamente.

12.8.1. ARCNet
Los nombres de dispositivo ARCNet son arc0e, arc1e, arc2e etc. o arc0s, arc1s, arc2s etc. El ncleo asigna
arc0e o arc0s a la primer tarjeta detectada y el resto se asigna secuencialmente en el orden en que se detectan.
La letra al final significa si Usted ha seleccionado el formato de paquetes de encapsulamiento Ethernet o el
formato de paquetes RFC1051.
Opciones de compilacin del ncleo:
Network device support --->
[*] Network device support
<*> ARCnet support
[ ]
Enable arc0e (ARCnet "Ether-Encap" packet format)
[ ]
Enable arc0s (ARCnet RFC1051 packet format)

Una vez que tiene construido su ncleo adecuadamente para soportar su tarjeta Ethernet entonces es fcil la
configuracin de la tarjeta.
Tpicamente Usted utilizar algo como:
root# ifconfig arc0e 192.168.0.1 netmask 255.255.255.0 up
root# route add -net 192.168.0.0 netmask 255.255.255.0 arc0e

Por favor consulte los archivos /usr/src/linux/Documentation/networking/arcnet.txt y /usr/src/


linux/Documentation/networking/arcnet-hardware.txt para ms informacin.
El soporte de ARCNet fue desarrollado por Avery Pennarun, apenwarr@foxnet.net.

189

Captulo 12. Generalidades sobre redes

12.8.2. Appletalk (AF APPLETALK)


El soporte Appletalk no tiene nombres de dispositivo especiales ya que usa los dispositivos de red existentes.
Opciones de compilacin del ncleo:
Networking options
<*> Appletalk DDP

--->

El soporte Appletalk le permite a su mquina GNU/Linux operar en conjunto con con redes Apple. Un uso
importante para esto es compartir recursos tales como impresoras y discos entre sus computadoras Apple y
GNU/Linux . Se necesita software adicional denominado netatalk. Wesley Craig netatalk@umich.edu representa un equipo denominado el Grupo Unix de Investigacin de Sistemas en la Universidad de Michigan y han producido el paquete netatalk que brinda software que implementa la pila del protocolo Appletalk y algunos programas tiles. El paquete netatalk debera haber sido proporcionado con su distribucin
GNU/Linux o tendr que bajarlo por FTP desde la pgina web del mismo en la Universidad de Michigan
(ftp://terminator.rs.itd.umich.edu/unix/netatalk/).
Para construir e instalar el paquete, Usted debera hacer:
usuario% tar xvfz .../netatalk-1.4b2.tar.Z
ususario% make
root# make install

Usted puede querer editar el archivo Makefile antes de invocar a make para compilar el software. Especficamente, podra querer cambiar la variable DESTDIR que define dnde se instalarn luego los archivos. El valor
predeterminado, /usr/local/atalk, es bastante seguro.
12.8.2.1. Configurando el software Appletalk
La primer cosa que necesita hacer para que todo funcione es asegurarse que estn presentes las entradas
apropiadas en el archivo /etc/services. Las entradas que necesita son:
rtmp 1/ddp # Routing Table Maintenance Protocol
nbp 2/ddp # Name Binding Protocol
echo 4/ddp # AppleTalk Echo Protocol
zip 6/ddp # Zone Information Protocol

El paso siguiente es crear los archivos de configuracin de Appletalk en el directorio /usr/local/atalk/etc (o


donde haya instalado el paquete).
El primer archivo a crear es /usr/local/atalk/etc/atalkd.conf. Inicialmente, este archivo slo necesita una
lnea que da el nombre del dispositivo de red que soporta la red sobre la que estn sus mquinas Apple:
eth0

El programa demonio Appletalk aadir detalles extra una vez que se ejecute.

190

Captulo 12. Generalidades sobre redes


12.8.2.2. Exportando un sistema de archivos Linux por medio de Appletalk
Puede exportar sistemas de archivo de su mquina Linux a la red de forma tal que las mquinas Apple de
dicha red puedan compartirlos.
Para esto debe configurar el archivo /usr/local/atalk/etc/AppleVolumes.system. Hay otro archivo de configuracin denominado /usr/local/atalk/etc/AppleVolumes.default que tiene exactamente el mismo formato y describe cuales son los sistemas de archivo que recibirn los usuarios que se conectan con privilegios
de invitado.
Se pueden encontrar detalles completos sobre la configuracin de estos archivos y las distintas opciones en la
pgina Man de afpd: afpd.
Un ejemplo simple podra lucir as:
/tmp Scratch
/home/ftp/pub "
Area p
ublica"

... que exportara su sistema de archivos /tmp como un volumen AppleShare denominado Scratch y su
directorio FTP pblico como un volumen AppleShare denominado rea pblica. Los nombres de volumen
no son obligatorios, el demonio escoger alguno por Usted, pero no causar dao alguno si los especifica.

12.8.2.3. Compartiendo su impresora Linux por medio de Appletalk


Puede compartir su impresora GNU/Linux con mquinas Apple de manera bastante simple. Necesita ejecutar
el programa papd que es un servidor del Protocolo de acceso a impresoras Appletalk. Cuando ejecute este
programa, el mismo aceptar los pedidos de sus mquinas Apple y pondr los trabajos de impresin en la
cola de su demonio de impresin local para que se impriman.
Debe editar el archivo /usr/local/atalk/etc/papd.conf para configurar el demonio. La sintaxis de este
archivo es la misma que la de su archivo /etc/printcap usual. El nombre que le da a la definicin se registra
con el protocolo de nombres de Appletalk, NBP.
Una configuracin de ejemplo podra lucir as:
TricWriter:\
:pr=lp:op=cg:

... que hara que una impresora denominada TricWriter est disponible en su red Appletalk, y todos los
trabajos aceptados se imprimiran directamente en la impresora Linux lp (como est definida en el archivo
/etc/printcap), utilizando CUPS . La entrada op=cg dice que el usuario Linux cg es el operador de la impresora.

12.8.2.4. Iniciando el software Appletalk


Bien, ahora debera estar listo para probar esta configuracin bsica. Hay un archivo rc.atalk que se suministra con el paquete netatalk que debera funcionar bien, entonces todo lo que tiene que hacer es:
root# /usr/local/atalk/etc/rc.atalk

... y todo debera iniciar y ejecutar correctamente. No debera ver mensajes de error y el software enviar los
mensajes a la consola indicando cada etapa a medida que se inicia.

191

Captulo 12. Generalidades sobre redes


12.8.2.5. Probando el software Appletalk
Para probar que el software est funcionando adecuadamente, vaya a una de sus mquinas Apple, despliegue
el men Apple, seleccione el Chooser, haga clic sobre AppleShare, y debera aparecer su mquina GNU/Linux .

12.8.2.6. Contras del software Appletalk


1. Puede necesitar iniciar el soporte para Appletalk antes de configurar su red IP. Si tiene problemas iniciando los programas Appletalk, o si despus que los inici tiene problemas con su red IP, entonces debe
intentar iniciar el software Appletalk antes de ejecutar su archivo /etc/rc.d/rc.inet1.
2. afpd (Apple Filing Protocol Daemon, Demonio del protocolo de archivado de Apple) daa severamente
su disco rgido. Debajo de los puntos de montaje, el mismo crea una serie de directorios denominados
.AppleDesktop y NetworkTrashFolder. Luego, para cada directorio que Usted accede, crear un archivo .AppleDouble debajo del mismo de forma tal que pueda almacenar recursos, etc. Por lo tanto, debe
pensarlo dos veces antes de exportar /, luego pasar mucho tiempo haciendo limpieza.
3. El programa afpd espera contraseas textuales de las Mac. La seguridad podra ser un problema, por lo
que debe tener cuidado cuando ejecute este demonio en una mquina conectada a la Internet. Tiene que
culparse a Usted mismo si alguien malintencionado hace cosas malas.
4. Las herramientas de diagnstico existentes como netstat e ifconfig no soportan Appletalk. La informacin
en crudo est disponible en el directorio /proc/net/ si es que la necesita.

12.8.2.7. M
as informaci
on
Para una descripcin mucho ms detallada de como configurar Appletalk para GNU/Linux consulte la pgina
del Linux Netatalk-HOWTO para GNU/Linux de Anders Brownworth en el sitio web TheHamptons punto com
(http://thehamptons.com/anders/netatalk/).

12.8.3. ATM
Werner Almesberger <werner.almesberger@lrc.di.epfl.ch> administra un proyecto cuyo objetivo es brindar el soporte para ATM (Asynchronous Transfer Mode Modo de transferencia asincrnico) para GNU/Linux .
Se puede obtener informacin sobre el estado corriente del proyecto en el sitio web de ATM en Linux
(http://linux-atm.sourceforge.net/).

12.8.4. AX25 (AF AX25)


Los nombres de dispositivo de AX.25 son sl0, sl1, etc. en los ncleos 2.0.* o ax0, ax1, etc. en los ncleos
2.1.*.
Opciones de compilacin del ncleo:
Networking options --->
[*] Amateur Radio AX.25 Level 2

Los protocolos AX25, Netrom y Rose se cubren en el COMO sobre AX25 (http://linuxdoc.org/HOWTO/
AX25-HOWTO.html). Estos protocolos son utilizados por los operadores de radio aficionado de todo el mundo en experimentacin de transmisin de paquetes por radio.
La mayora del trabajo de implementacin de estos protocolos ha sido realizada por Jonathon Naylor,
jsn@cs.nott.ac.uk, y ahora es Jeff Tranter (tranter@pobox.com) quien mantiene el COMO .

192

Captulo 12. Generalidades sobre redes

12.8.5. DECNet
El ncleo estable corriente (2.4) incluye soporte para DECNet. Con Mandrake Linux ha estado disponible
desde el ncleo 2.2.

12.8.6. FDDI
Los nombres de dispositivo de FDDI son fddi0, fddi1, fddi2 etc. El ncleo asigna fddi0 a la primer tarjeta
que detecte y el resto se asigna secuencialmente en el orden que se detectan.
Larry Stefani, lstefani@ultranet.com, ha desarrollado un controlador para las tarjetas FDDI EISA y PCI.
Opciones de compilacin del ncleo:
Network device support --->
[*] FDDI driver support
[*] Digital DEFEA and DEFPA adapter support

Si su ncleo est construido para soportar el controlador FDDI y est instalado, la configuracin de la interfaz
FDDI es casi idntica a la de una interfaz Ethernet. Simplemente especifique el nombre apropiado de interfaz
FDDI en los comandos ifconfig y route.

12.8.7. Relevo de tramas


Los nombres de dispositivo de Relevo de tramas son dlci00, dlci01, etc. para los dispositivos de encapsulamiento DLCI y sdla0, sdla1, etc. para los FRAD(s).
El Relevo de tramas es una tecnologa de red nueva que est diseada para ajustarse al trfico de comunicaciones de datos que es de naturaleza intermitente o por rfagas. Se conecta a una red de Relevo de tramas
utilizando un Frame Relay Access Device (Dispositivo de acceso al relevo de tramas o FRAD). El relevo de tramas
de GNU/Linux soporta IP sobre Relevo de tramas como se describe en RFC1490.
Opciones de compilacin del ncleo:
Network device support --->
<*> Frame relay DLCI support (EXPERIMENTAL)
(24)
Max open DLCI
(8)
Max DLCI per device
<*>
SDLA (Sangoma S502/S508) support

Mike McLagan, mike.mclagan@linux.org, desarroll el soporte y las herramientas de configuracin para Relevo de tramas.
Corrientemente, los nicos FRADs que sabemos que estn soportados son S502A, S502E y S508 de Sangoma Technologies (http://www.sangoma.com/) as como tambin los de Emerging Technologies (http:
//www.etinc.com/).
Para configurar los dispositivos FRAD y DLCI luego que ha reconstruido su ncleo, necesitar las herramientas de configuracin de Relevo de tramas. Estas estn disponibles en ftp.invlogic.com (ftp://ftp.invlogic.
com/pub/linux/fr/).
La compilacin e instalacin de las herramientas es simple, pero la falta de un archivo Makefile de nivel
superior hace que el proceso sea bastante manual:
usuario% tar xvfz .../frad-0.15.tgz
usuario% cd frad-0.15
usuario% for i in common dlci frad; make -C $i clean; make -C $i; done
root# mkdir /etc/frad
root# install -m 644 -o root -g root bin/*.sfm /etc/frad
root# install -m 700 -o root -g root frad/fradcfg /sbin
root# install -m 700 -o root -g root dlci/dlcicfg /sbin

193

Captulo 12. Generalidades sobre redes

Note que los comandos previos utilizan la sintaxis de sh, si usted utiliza csh (por ejemplo tcsh), el bucle for
tendr una apariencia distinta.
Luego de instalar las herramientas, necesita crear un archivo /etc/frad/router.conf. Puede usar esta plantilla, que es una versin modificada de uno de los archivos de ejemplo:
#
#
#
#
#
#
#
#
#
#
#

/etc/frad/router.conf
Esta es una plantilla de configuraci
on para Relevo de tramas.
Se incluyen todas las etiquetas. Los valores por defecto est
an
basados en el c
odigo que se suministra con los controladores
para
DOS de la tarjeta Sangoma S502A.
Un # en cualquier lugar de una l
nea es un comentario
Los blancos se ignoran (tambi
en puede indentar con Tab)
Las entradas [] desconocidas y las claves desconocidas se ignoran

[Devices]
Count=1
Dev_1=sdla0
#Dev_2=sdla1

# cantidad de dispositivos a configurar


# el nombre de un dispositivo
# el nombre de un dispositivo

# Estos se aplican a todos los dispositivos y pueden ignorarse


# para cada tarjeta individual.
#
Access=CPE
Clock=Internal
KBaud=64
Flags=TX
#
# MTU=1500
# long. m
ax de transm. de trama, predet. 4096
# T391=10
# valor T391
5 - 30, predet. 10
# T392=15
# valor T392
5 - 30, predet. 15
# N391=6
# valor N391
1 - 255, predet. 6
# N392=3
# valor N392
1 - 10, predet. 3
# N393=4
# valor N393
1 - 10, predet. 4
#
#
#
#
#
#
#

Estos configuran los predeterminados para todas las tarjetas


CIRfwd=16
# CIR forward
1 - 64
Bc_fwd=16
# Bc forward
1 - 512
Be_fwd=0
# Be forward
0 - 511
CIRbak=16
# CIR backward 1 - 64
Bc_bak=16
# Bc backward
1 - 512
Be_bak=0
# Be backward
0 - 511

#
#
# Configuraci
on espec
fica del dispositivo
#
#
#
# El primer dispositivo es un Sangoma S502E
#
[sdla0]
Type=Sangoma
# Tipo de dispositivo a conifgurar, por
#
el momento s
olo se reconoce SANGOMA
#
# Estas claves son espec
ficas al tipo Sangoma
#
# El tipo de tarjeta Sangoma - S502A, S502E, S508
Board=S502E
#
# El nombre del firmware de prueba para la tarjeta Sangoma
# Testware=/usr/src/frad-0.10/bin/sdla_tst.502
#
# El nombre del firmware FR
# Firmware=/usr/src/frad-0.10/bin/frm_rel.502
#
Port=360
# Puerto para esta tarjeta particular
Mem=C8
# Ventana de direcci
on de mem, A0-EE,
#
depende de la tarjeta

194

Captulo 12. Generalidades sobre redes


IRQ=5
# IRQ, no es necesario para S502A
DLCIs=1
# Cantidad de DLCI de este dispositivo
DLCI_1=16
# N
umero DLCI #1, 16 - 991
# DLCI_2=17
# DLCI_3=18
# DLCI_4=19
# DLCI_5=20
#
# Esto s
olo se aplica a este dispositivo e ignora los valores
# predeterminados de arriba
#
# Access=CPE
# CPE o NODE, predet. CPE
# Flags=TXIgnore,RXIgnore,BufferFrames,DropAborted,Stats,MCI,AutoDLCI
# Clock=Internal
# External o Internal, predet. Internal
# Baud=128
# Tasa de baud del CSU/DSU conectado
# MTU=2048
# long. m
ax. de transm., predet. 4096
# T391=10
# valor T391
5 - 30, predet. 10
# T392=15
# valor T392
5 - 30, predet. 15
# N391=6
# valor N391
1 - 255, predet. 6
# N392=3
# valor N392
1 - 10, predet. 3
# N393=4
# valor N393
1 - 10, predet. 4
#
#
#
#
#
#
#

El segundo dispositivo es alguna otra tarjeta


[sdla1]
Type=FancyCard
Board=
Key=Value

# Tipo de dispositivo a configurar


# Tipo de tarjeta Sangoma
# valores espec
ficos a este tipo de dispositivo

#
# Par
ametros predeterminados de configuraci
on DLCI
# Se pueden obviar en las configuraciones espec
ficas de DLCI
#
CIRfwd=64
# CIR forward
1 - 64
# Bc_fwd=16
# Bc forward
1 - 512
# Be_fwd=0
# Be forward
0 - 511
# CIRbak=16
# CIR backward 1 - 64
# Bc_bak=16
# Bc backward
1 - 512
# Be_bak=0
# Be backward
0 - 511
#
# Configuraci
on de DLCI
# Todos estos son opcionales. La convenci
on de nombrado es
# [DLCI_D<numdispositivo>_<Num_DLCI>]
#
[DLCI_D1_16]
# IP=
# Net=
# Mask=
# Flags definidos por Sangoma: TXIgnore,RXIgnore,BufferFrames
# DLCIFlags=TXIgnore,RXIgnore,BufferFrames
# CIRfwd=64
# Bc_fwd=512
# Be_fwd=0
# CIRbak=64
# Bc_bak=512
# Be_bak=0
[DLCI_D2_16]
# IP=
# Net=
# Mask=
# Flags definidos por Sangoma: TXIgnore,RXIgnore,BufferFrames
# DLCIFlags=TXIgnore,RXIgnore,BufferFrames
# CIRfwd=16
# Bc_fwd=16
# Be_fwd=0
# CIRbak=16
# Bc_bak=16
# Be_bak=0

195

Captulo 12. Generalidades sobre redes


Cuando ha construido su archivo /etc/frad/router.conf, slo falta el paso de configuracin de los dispositivos propiamente dichos. Esto es slo un poquito ms complicado que la configuracin de un dispositivo
normal de red, debe recordar de activar el dispositivo FRAD antes que los dispositivos de encapsulado DLCI.
Es mejor poner a estos comandos en un script del shell debido a la cantidad de los mismos:
#!/bin/sh
# Configurar el hardware FRAD y los par
ametros DLCI
/sbin/fradcfg /etc/frad/router.conf || exit 1
/sbin/dlcicfg file /etc/frad/router.conf
#
# Activar el dispositivo FRAD
ifconfig sdla0 up
#
# Configurar las inerfaces de encapsulado DLCI y el ruteo
ifconfig dlci00 192.168.10.1 pointopoint 192.168.10.2 up
route add -net 192.168.10.0 netmask 255.255.255.0 dlci00
#
ifconfig dlci01 192.168.11.1 pointopoint 192.168.11.2 up
route add -net 192.168.11.0 netmask 255.255.255.0 dlci00
#
route add default dev dlci00
#

12.8.8. IPX (AF IPX)


El protocolo IPX es ms utilizado comnmente en los entornos de red de rea local Novell NetWare(TM).
GNU/Linux incluye el soporte para este protocolo y se puede configurar para actuar como un punto de la
red, o como un router para IPX.
Opciones de compilacin del ncleo:
Networking options --->
[*] The IPX protocol
[ ] Full internal IPX network

El protocolo IPX y el sistema de archivos NCP se cubren con ms detalle en el COMO acerca de IPX (http:
//linuxdoc.org/HOWTO/IPX-HOWTO.html).

12.8.9. NetRom (AF NETROM)


Los nombres de dispositivo NetRom son nr0, nr1, etc.
Opciones de compilacin del ncleo:
Networking options --->
[*] Amateur Radio AX.25 Level 2
[*] Amateur Radio NET/ROM

Los protocolos AX25, Netrom y Rose se cubren en el COMO sobre AX25 (http://linuxdoc.org/HOWTO/
AX25-HOWTO.html). Estos protocolos son utilizados por los operadores de radio aficionado de todo el mundo en experimentacin de transmisin de paquetes por radio.
La mayora del trabajo de implementacin de estos protocolos ha sido realizada por Jonathon Naylor,
jsn@cs.nott.ac.uk.

196

Captulo 12. Generalidades sobre redes

12.8.10. Protocolo Rose (AF ROSE)


Los nombres de dispositivo Rose son rs0, rs1, etc. en los ncleos 2.1.*. Rose est disponible desde los ncleos
2.1.*.
Opciones de compilacin del ncleo:
Networking options --->
[*] Amateur Radio AX.25 Level 2
<*> Amateur Radio X.25 PLP (Rose)

Los protocolos AX25, Netrom y Rose se cubren en el COMO sobre AX25 (http://linuxdoc.org/HOWTO/
AX25-HOWTO.html). Estos protocolos son utilizados por los operadores de radio aficionado de todo el mundo en experimentacin de transmisin de paquetes por radio.
La mayora del trabajo de implementacin de estos protocolos ha sido realizada por Jonathon Naylor,
jsn@cs.nott.ac.uk.

12.8.11. Samba - soporte para NetBEUI, NetBios, CIFS


Samba es una implementacin del protocolo Session Management Block (Bloque de manejo de sesin o SMB).
Permite a Windows y otros sistemas montar y utilizar sus discos e impresoras.
Samba y su configuracin se cubre en detalle en el COMO sobre SMB (http://linuxdoc.org/HOWTO/
SMB-HOWTO.html).

12.8.12. Soporte STRIP (Starmode Radio IP)


Los nombres de los dispositivos STRIP son st0, st1, etc.
Opciones de compilacin del ncleo:
Network device support --->
[*] Network device support
....
[*] Radio network interfaces
< > STRIP (Metricom starmode radio IP)

STRIP es un protocolo diseado especficamente para un rango de mdems de radio Metricom para un proyecto de investigacin que est siendo conducido por la Universidad de Stanford denominado el Proyecto
MosquitoNet (http://mosquitonet.Stanford.edu). Hay un montn de lectura interesante aqu, incluso si
Usted no est directamente interesado en el proyecto.
Las radios Metricom se conectan a un puerto serio, emplean tecnologa de espectro amplio y son capaces
tpicamente de velocidades del orden de los 100Kbps. En el sitio web de Metricom (http://www.metricom.
com/) est disponible informacin sobre las radios Metricom.

Metricom fue a bancarrota, pero otra compa


na podra comprar la
tecnologa y volver a activar el sitio web.

Por el momento, las herramientas y utilitarios de red estndar no soportan el controlador STRIP, por lo que
tendr que bajar algunas herramientas personalizadas del servidor web MosquitoNet. En la pgina de software de MosquitoNet (http://mosquitonet.Stanford.edu/software.html) estn disponibles los detalles
del software que necesita.
Un resumen de la configuracin es que Usted utilice un programa slattach modificado para configurar la
disciplina de un dispositivo tty serie a STRIP y luego configure el dispositivo st[0-9] resultante como o hara
para Ethernet con una excepcin importante: por motivos tcnicos STRIP no soporta el protocolo ARP, por lo
que Usted debe configurar manualmente las entradas ARP para cada uno de los hosts de su sub-red. Esto no
debera resultar muy costoso.
197

Captulo 12. Generalidades sobre redes

12.8.13. Token Ring


Los nombres de dispositivos Token Ring son tr0, tr1, etc. Token Ring es un protocolo de red LAN estndar
de IBM que evita las colisiones proporcionando un mecanismo que slo brinda a una estacin en la red LAN
a la vez el derecho de transmitir. Una estacin a la vez mantienen un token (ficha) y es la estacin que
mantiene el token la nica estacin que puede transmitir. Cuando ha transmitido sus datos, le pasa el token
a la estacin siguiente. El token circula por todas las estaciones activas, de aqu el nombre de Token Ring
(Anillo de Token).
Opciones de compilacin del ncleo:
Network device support --->
[*] Network device support
....
[*] Token Ring driver support
< > IBM Tropic chipset based adaptor support

La configuracin de Token Ring es idntica a la de Ethernet, con la excepcin del nombre de dispositivo de
red a configurar.

12.8.14. X.25
X.25 es un protocolo de conmutacin de paquetes basado en circuitos definido por ITU-T (La Seccin de
Estandarizacin de las Telecomunicaciones de la International Telecommunications Union Union Internacional
de Telecomunicaciones, un cuerpo de estndares reconocido por las compaas de telecomunicaciones en la
mayor parte del mundo). Se est trabajando sobre una implementacin de X.25 y LAPB y los ncleos recientes
(desde 2.1.*) incluyen el trabajo en progreso.
Jonathon Naylor <jsn@cs.nott.ac.uk> est liderando el desarrollo y se ha establecido una lista de distribucin de correos para discutir los temas relacionados con X.25 bajo GNU/Linux . Para suscribirse, enve un
mensaje a majordomo@vger.rutgers.edu con el texto subscribe linux-x25 en el cuerpo del mensaje.

12.8.15. Tarjeta WaveLan


Los nombres de dispositivo WaveLan son eth0, eth1, etc.
Opciones de compilacin del ncleo:
Network device support --->
[*] Network device support
....
[*] Radio network interfaces
....
<*> WaveLAN support

La tarjeta WaveLAN es una tarjeta de red LAN inalmbrica de espectro amplio. La tarjeta se parece mucho a
una tarjeta Ethernet en la prctica, y se configura de manera muy similar.
Puede obtener informacin sobre la tarjeta WaveLAN en el sitio web ORiNOCCO (http://www.orinocowireless.
com/).

12.9. Cables y cableado


Aquellos de Ustedes que se las arreglan con un soldador pueden desear construir sus propios cables para
interconectar dos mquinas GNU/Linux . Los diagramas de cableado siguiente lo deberan ayudar en esta tarea.

198

Captulo 12. Generalidades sobre redes

12.9.1. Cable NULL-m


odem serie
No todos los cables NULL-mdem son los mismos. Muchos cables NULL-mdem pueden hacer poco ms
que engaar a su computadora hacindole creer que todas las seales apropiadas estn presentes e intercambiando transmitir y recibir datos. Esto est bien pero significa que Usted debe usar el control de flujo por
software (XON/XOFF) el cual es mucho menos eficiente que el control de flujo por hardware. El cable siguiente
proporciona la mejor sealizacin posible entre las mquinas y le permite usar el control de flujo por hardware
(RTS/CTS).

Nombre

Pata

Pata

Tx Data
Rx Data
RTS
CTS
Ground
DTR
DSR
RLSD/DCD

2
3
4
5
7
20
6
8

3
2
5
4
7
8
20
6

Figura 12-2. El cableado NULL-mdem

12.9.2. Cable de puerto paralelo (Cable PLIP)


Si Usted pretende usar el protocolo PLIP entre dos mquinas entonces este cable funcionar sin importar el
tipo de puerto paralelo que tenga instalado.
Nombre
pata
pata
STROBE
1*
D0->ERROR
2 ----------- 15
D1->SLCT
3 ----------- 13
D2->PAPOUT 4 ----------- 12
D3->ACK
5 ----------- 10
D4->BUSY
6 ----------- 11
D5
7*
D6
8*
D7
9*
ACK->D3
10 ----------- 5
BUSY->D4
11 ----------- 6
PAPOUT->D2 12 ----------- 4
SLCT->D1
13 ----------- 3
FEED
14*
ERROR->D0
15 ----------- 2
INIT
16*
SLCTIN
17*
GROUND
25 ----------- 25

No conecte las patas marcadas con un asterisco *;


los

contactos de tierra adicionales son las patas


18,19,20,21,22,23 y 24;

si el cable que Usted est


a utilizando tiene una malla met
a-

lica, la misma debera conectarse al encapsulado met


alico
DB-25 s
olo en un extremo.

Un cable PLIP cableado incorrectamente puede destruir su tarjeta


controladora. Tenga sumo cuidado y verifique dos veces cada conexi
on para asegurarse que Usted mismo no se causa alg
un trabajo o
dolor cardaco innecesarios.

199

Captulo 12. Generalidades sobre redes


A pesar que Usted podr extender cables PLIP sobre distancias largas, debera evitarlo de ser posible. Las
especificaciones para el cable le permiten una longitud del cable de ms o menos 1 metro. Por favor, tenga
sumo cuidado cuando extienda cables PLIP largos ya que las fuentes de campos electromagnticos fuertes,
tales como la luz, las lneas de energa y los transmisores de radio, pueden interferir con, y a veces daar a,
su controladora. Si Usted realmente desea conectar dos computadoras sobre una distancia larga, en realidad
debera buscar obtener un par de tarjetas thin-Ethernet y extender un cable coaxial.

12.9.3. Cableado Ethernet 10base2 (coaxial fino)


10base2 es un estndar de cableado de Ethernet que especifica el uso de cable coaxial de 50 ohms con un dimetro de aproximadamente 5 milmetros. Hay un par de reglas importantes a recordar cuando se interconectan
mquinas con el cableado 10base2. La primera es que Usted debe usar terminadores en ambos extremos del
cableado. Un terminador es un resistor de 50 ohms que ayuda a asegurarse que la seal se absorbe y no se refleja cuando llega al final del cable. Sin un terminador en cada extremo del cable, Usted puede observar que la
Ethernet no es confiable o no funciona en absoluto. Normalmente Usted utilizar piezas T para interconectar
las mquinas, de forma tal que termina teniendo algo que se parece a lo siguiente:

Figura 12-3. Cableado Ethernet 10base2

donde la | en cada extremo representa un terminador, ====== representa una longitud de cable coaxial con
conectores BNC en cada extremo y la T representa un conector pieza T. Usted debera mantener la longitud
del cable entre la pieza T y la tarjeta Ethernet real en la PC lo ms corta posible, idealmente la pieza T
estar conectada directamente a la tarjeta Ethernet.

12.9.4. Cable Ethernet de par trenzado


Si slo tiene dos tarjetas Ethernet de par trenzado y desea conectarlas, no necesita un hub. Usted puede
cablear las dos tarjetas directamente entre s. En el COMO sobre Ethernet (http://linuxdoc.org/HOWTO/
Ethernet-HOWTO.html) se incluye un diagrama que muestra como hacerlo.

200

Ap
endice A. D
onde encontrar informaci
on adicional
Si bien aqu hemos descripto la interfaz de MandrakeSecurity y revelado algunos detalles acerca de las redes
y la seguridad, este manual simplemente no es suficiente si Usted no tiene conocimiento alguno acerca de
algunas caractersticas especficas propuestas aqu. Es por esto que aqu le proponemos algunos vnculos a
varios documentos en la web que le ayudarn a comprender los mecanismos reales que estn por debajo de
MandrakeSecurity .

Bibliografa
Documentaci
on relacionada con el backend
Documentacin de Shorewall (http: // www. shorewall. net/ shorewall_ quickstart_ guide. htm ) .
La aplicacin Shorewall en la que se basa MandrakeSecurity , est ampliamente documentada. Busque
aqu ejemplos adicionales, e informacin completa sobre los procesos de segundo plano de MandrakeSecurity .
Cach de DNS: Bind de ICS (http: // www. isc. org/ products/ BIND/ ) .
DHCP (http: // www. isc. org/ products/ DHCP/ ) .
Proxy Web (http: // www. squid-cache. org/ ) .
Filtrado de URL con SquidGuard (http: // www. squidguard. org/ ) .
Filtrado de URL con DansGuardian (http: // dansguardian. org/ ) .
Sistema de deteccin de intrusiones SNORT (http: // www. snort. org/ ) .
Sistema de deteccin de intrusiones Prelude (http: // www. prelude-ids. org/ ) .

Informaci
on adicional acerca de las t
ecnicas utilizadas en MandrakeSecurity
Traduccin de direccin de red (NAT) IP (http: // www. suse. de/ ~mha/ linux-ip-nat/ diplom/ ) .
Linux FreeS/WAN: implementacin de IPSEC & IKE para Linux (http: // www. xs4all. nl/ ~freeswan ) .
Windows 2000 / Windows XP - VPN FreeS/WAN (http: // vpn. ebootis. de/ ) .

201

Apndice A. Dnde encontrar informacin adicional

202

Ap
endice B. La Licencia P
ublica General GNU
El texto siguiente es la licencia GPL que se aplica a la mayora de los programas que se encuentran en las
distribuciones Mandrake Linux.
Esta es una traduccin al castellano no oficial de la Licencia Pblica General GNU. No fue publicada por la
Free Software Foundation, y legalmente no establece los trminos de distribucin de software que usa la GPL
GNU-- slo el texto original en ingls de la GPL GNU hace eso. Sin embargo, esperamos que esta traduccin
ayudar a las personas que hablan castellano a comprender mejor la GPL GNU.
Traducido por Fabian Israel Mandelbaum en Mayo de 2000. Buenos Aires. Argentina.

Versin 2, Junio 1991 Copyright (C) 1989, 1991 Free Software Foundation, Inc. 59 Temple Place - Suite 330,
Boston, MA 02111-1307, USA
Cualquiera puede copiar y distribuir copias al pie de la letra del documento de esta licencia, pero no se permite
cambiarla.

B.1. Pre
ambulo
Las licencias para la mayora del software estn diseadas para quitarle su libertad de compartirlo y cambiarlo.
En contraste, la Licencia Pblica General GNU pretende garantizarle su libertad para compartir y cambiar el
software libre -- para asegurarse que el software es libre para todos sus usuarios. Esta Licencia Pblica General
se aplica a la mayora del software de la Free Software Foundation y a cualquier otro programa cuyos autores
se comprometan a usarla. (No obstante, algn otro software de la Free Software Foundation est cubierto por
la Licencia Pblica General de Biblioteca GNU LGPL). Usted tambin puede aplicarla a sus programas.
Cuando hablamos de software libre, nos estamos refiriendo a libertad, no al precio. Nuestras Licencias Pblicas Generales estn diseadas para asegurarse que Usted tiene la libertad de distribuir copias de software
libre (y, si Usted lo desea, puede cobrar por este servicio), que Usted recibe el cdigo fuente o puede obtenerlo
si as lo desea, que Usted puede cambiar el software o usar piezas del mismo en programas libres nuevos; y
que Usted sabe que puede hacer estas cosas.
Para proteger sus derechos, necesitamos hacer restricciones que prohban a cualquiera el negarle a Usted estos
derechos o pedirle a Usted que renuncie a los derechos. Estas restricciones se traducen en ciertas responsabilidades para Usted si es que distribuye copias del software, o si lo modifica.
Por ejemplo, si Usted distribuye copias de tal programa, ya sea gratis o con un costo, Usted debe darle a quienes lo reciban todos los derechos que Usted posee. Usted debe asegurarse que ellos, tambin, reciban o puedan
obtener el cdigo fuente. Y Usted debe mostrarles estos trminos para que ellos conozcan sus derechos.
Nosotros protegemos sus derechos con dos pasos:
1. el copyright (derecho de autor) del software, y
2. le ofrecemos esta licencia que le otorga permiso legal para copiar, distribuir y/o modificar el software.
Tambin, para la proteccin de cada autor y la nuestra, nos queremos asegurar que todos entiendan que
no hay garanta alguna para este software libre. Si un tercero modifica el software y lo distribuye, nosotros
queremos que quienes lo reciban sepan que lo que ellos poseen no es el original, por lo que cualquier problema
introducido por terceros no afectar la reputacin del autor original.
Finalmente, cualquier programa libre est constantemente amenazado por las patentes de software. Nosotros
deseamos evitar el peligro que los redistribuidores de un programa libre obtengan individualmente licencias
de las patentes, haciendo al programa, en efecto, propietario. Para evitar esto, nosotros hemos aclarado que
cualquier patente debe ser licenciada para el uso personal libre de cualquiera o no ser licenciada en absoluto.
Los trminos y condiciones precisos para copiar, distribuir y modificar son los siguientes.

203

Apndice B. La Licencia Pblica General GNU

B.2. T
erminos y condiciones para la copia, distribuci
on y modificaci
on

0. Esta licencia se aplica a cualquier programa u otro trabajo que contiene una nota puesta por quien posee
el copyright diciendo que puede ser distribuido bajo los trminos de esta Licencia Pblica General. En
adelante, el Programa se refiere a cualquiera de tales programas o trabajos, y un trabajo basado en el
Programa significa o el Programa o cualquier trabajo derivado bajo la ley del copyright: es decir, un trabajo
conteniendo el Programa o una porcin del mismo, ya sea textual o con modificaciones y/o traducciones
a otro idioma. (En adelante, traduccin se incluye sin limitacin en el trmino modificacin). Se dirige a
cada titular de la licencia como Usted.
Actividades que no sean la copia, distribucin y modificacin no estn cubiertas por esta Licencia; estn
fuera del campo de la misma. El acto de ejecutar el Programa no est restringido, y la respuesta del Programa
est cubierta slo si su contenido constituye un trabajo basado en el Programa (independiente de haber sido
el resultado de la ejecucin del Programa). Que eso sea cierto depende de lo que haga el Programa.

1. Usted puede copiar y distribuir copias textuales del cdigo fuente del Programa como lo recibi, en
cualquier medio, si Usted publica en cada copia visible y adecuadamente una nota de copyright apropiada
y la renuncia de garanta; mantiene intactas todas las notas que refieren a esta Licencia y a la ausencia de
garanta alguna; y le da a cualquier otra persona que reciba el Programa una copia de esta Licencia junto
con el Programa.
Usted puede cobrar un honorario por el acto fsico de transferir una copia, y Usted puede, a su eleccin,
ofrecer la proteccin de la garanta a cambio de un honorario.

2. Usted puede modificar su copia o sus copias del Programa o cualquier porcin del mismo, conformando
entonces un trabajo basado en el Programa, y copiar y distribuir tales modificaciones o trabajo bajo los
trminos de la Seccin 1 arriba expuestos, si Usted tambin cumple con todas estas condiciones:
1. Usted debe hacer que los archivos modificados tengan notas prominentes que digan que Usted cambi
los archivos y la fecha de cualquier cambio.
2. Usted debe hacer que cualquier trabajo que Usted distribuya o publique, que en todo o en parte contiene
o est derivado del Programa o cualquier parte del mismo, sea licenciado como un todo sin cargo a todas
las terceras partes bajo los trminos de esta Licencia.
3. Si el Programa modificado normalmente lee comandos interactivamente cuando se ejecuta, Usted puede
hacer que, cuando el mismo inicie la corrida de tal uso interactivo de la manera ms comn, el Programa
imprima o muestre un anuncio incluyendo la nota de copyright apropiada y una nota que indique que
no hay garanta alguna (caso contrario, que diga que Usted proporciona una garanta) y que los usuarios
pueden redistribuir el programa bajo estas condiciones, y dicindole al usuario como ver una copia de
esta Licencia. (Excepcin: si el Programa en s mismo es interactivo pero normalmente no imprime tal
anuncio, no es necesario que su trabajo basado en el Programa imprima un anuncio).
Estos requisitos se aplican al trabajo modificado como un todo. Si secciones identificables de ese trabajo no
estn derivadas del Programa, y pueden considerarse razonablemente un trabajo separado e independiente
por s mismas, entonces esta Licencia, y sus trminos, no se aplican a dichas secciones cuando Usted las
distribuye como trabajos separados. Pero cuando Usted distribuye las mismas secciones como parte de un
todo el cual es un trabajo basado en el Programa, la distribucin del todo debe ser bajo los trmino de esta
Licencia, cuyos permisos para otras licencias se extienden al todo, y por lo tanto, a todas y cada una de las
partes sin importar quien las escribi.
Por lo tanto, la intencin de esta seccin no es reclamar derechos o competir por sus derechos sobre un
trabajo escrito enteramente por Usted; sino, la intencin es ejercitar el derecho de controlar la distribucin
de trabajos derivativos o colectivos basados en el Programa.
Adems, el mero agregado de otro trabajo que no est basado en el Programa junto con el Programa (o con
un trabajo basado en el Programa) sobre un volumen de almacenamiento o medio de distribucin no pone
al otro trabajo bajo el marco de esta Licencia.

3. Usted puede copiar y distribuir el Programa (o un trabajo basado en el mismo, bajo la Seccin 2) en forma
de cdigo objeto o ejecutable bajo los trminos de las Secciones 1 y 2 anteriores siempre y cuando Usted
tambin haga algo de lo siguiente:

204

Apndice B. La Licencia Pblica General GNU


1. Lo acompaa con el cdigo fuente legible por la mquina completo, el cual debe ser distribuido bajo los
trminos de las Secciones 1 y 2 anteriores sobre un medio comnmente usado para el intercambio de
software; o,
2. Lo acompaa con una oferta escrita, vlida por al menos tres aos, de dar a cualquier tercero, por un
cargo no mayor a su costo de realizar fsicamente la distribucin fuente, una copia completa legible por
la mquina del cdigo fuente correspondiente, a ser distribuido bajo los trminos de las Secciones 1 y 2
anteriores sobre un medio comnmente usado para el intercambio de software; o,
3. Lo acompaa con la informacin que Usted recibi como la oferta de distribuir el cdigo fuente correspondiente. (Esta alternativa slo est permitida para distribucin no comercial y slo si Usted recibi
el programa en forma de cdigo objeto o ejecutable con tal oferta, de acuerdo con la Sub-seccin b
anterior).
El cdigo fuente para un trabajo significa la forma preferida del mismo para hacerle modificaciones. Para
un trabajo ejecutable, el cdigo fuente completo significa todo el cdigo fuente para todos los mdulos
que contiene, ms cualquier archivo asociado de definicin de interfaces, ms todos los scripts usados para
controlar la compilacin e instalacin del ejecutable. Sin embargo, como una excepcin especial, el cdigo
fuente distribuido no necesita incluir cosa alguna que normalmente se distribuya (ya sea en forma fuente
o binaria) con los componentes mayores (compilador, ncleo, y as sucesivamente) del sistema operativo
sobre el cual corre el ejecutable, a menos que dicho componente en s mismo acompae al ejecutable.
Si la distribucin del ejecutable o el cdigo objeto se hace ofreciendo acceso a la copia desde un sitio designado, entonces el hecho de ofrecer la copia del cdigo fuente desde el mismo sitio cuenta como distribucin
del cdigo fuente, incluso si los terceros no estn obligados a copiar los fuentes junto con el cdigo objeto.

4. Usted no puede copiar, modificar, sub-licenciar, o distribuir el Programa excepto como se provee expresamente bajo esta Licencia. Cualquier intento contrario de copiar, modificar, sub-licenciar o distribuir
el Programa est prohibido, y anular automticamente sus derechos sobre esta Licencia. Sin embargo, a
las partes que han recibido copias, o derechos, de Usted bajo esta Licencia no se les anularn sus licencias
siempre y cuando tales partes cumplan la misma por completo.

5. No es necesario que Usted acepte esta Licencia, ya que Usted no la firm. Sin embargo, nada ms le garantiza a Usted el permiso para modificar o distribuir el Programa o sus trabajos derivativos. Estas acciones
estn prohibidas por ley si Usted no acepta esta Licencia. Por lo tanto, al modificar o distribuir el Programa
(o cualquier trabajo basado en el Programa), Usted indica su aceptacin de esta Licencia para hacerlo, y
todos sus trminos y condiciones para copiar, distribuir o modificar el Programa o los trabajos basados en
el mismo.

6. Cada vez que Usted redistribuye el Programa (o cualquier trabajo basado en el Programa), quien lo recibe
automticamente recibe una licencia del licenciatario original para copiar, distribuir o modificar el Programa
sujeto a estos trminos y condiciones. Usted no puede imponer cualquier otra restriccin sobre el ejercicio
de los derechos aqu garantizados de quienes lo reciban. Usted no es responsable de forzar el cumplimiento
de esta Licencia por parte de terceros.

7. Si, como consecuencia de un veredicto de una corte o alegato de usurpacin de una patente o cualquier
otra razn (no limitada a cuestiones de patentes), se le imponen condiciones (ya sea por orden de la corte,
convenio u otros) que contradicen las condiciones de esta Licencia, esto no lo libera a Usted de las condiciones de esta Licencia. Si Usted no puede hacer la distribucin de manera de satisfacer simultneamente sus
obligaciones bajo esta Licencia y cualquier otra u otras obligaciones pertinentes, entonces como consecuencia, Usted no puede distribuir el Programa en absoluto. Por ejemplo, si una licencia de patente no permite la
distribucin sin regalas del Programa por todos aquellos que reciban copias directamente o indirectamente
a travs de Usted, entonces la nica forma en la cual Usted puede satisfacer tanto esta Licencia como la otra
sera contenerse en absoluto de distribuir el Programa.
Si, bajo cualquier circunstancia particular, cualquier porcin de esta seccin se invalida o no se puede forzar,
se pretende aplicar el balance de esta seccin y la seccin como un todo pretende aplicar en otras circunstancias.
No es el propsito de esta seccin inducir a Usted a violar patente alguna o cualquier otro reclamo de derechos de propiedad o debatir la validez de cualquiera de tales reclamos; esta seccin tiene el slo propsito
de proteger la integridad del sistema de distribucin de software libre, que est implementado por prcticas
de licencia pblica. Mucha gente ha hecho contribuciones generosas al amplio rango de software distribuido por medio de ese sistema confiando en la aplicacin consistente de dicho sistema; queda a criterio del

205

Apndice B. La Licencia Pblica General GNU


autor/donor decidir si l o ella est dispuesto a distribuir software por medio de cualquier otro sistema y
una licencia no puede imponer esa eleccin.
El propsito de esta seccin es dejar bien en claro lo que se cree es una consecuencia del resto de esta
Licencia.

8. Si la distribucin y/o el uso del Programa est restringido en ciertos pases ya sea por patentes o por interfases con copyright, el dueo del copyright original que pone al Programa bajo esta Licencia puede agregar
una limitacin explcita a la distribucin geogrfica excluyendo dichos pases, por lo cual la distribucin
slo est permitida en, o entre, los pases no as excluidos. En tal caso, esta Licencia incorpora la limitacin
como si estuviese escrita en el cuerpo de esta Licencia.

9. La Free Software Foundation puede publicar versiones revisadas y/o nuevas de la Licencia Pblica General de vez en cuando. Tales versiones nuevas sern similares en espritu a la versin presente, pero pueden
diferir en detalle para tratar problemas o intereses nuevos.
A cada versin se le da un nmero de versin distintiva. Si el Programa especifica un nmero de versin
de esta Licencia que aplica al mismo y a cualquier versin posterior, Usted tiene la opcin de seguir los
trminos y condiciones de cualquiera de esas versiones o de cualquier versin posterior publicada por la
Free Software Foundation. Si el Programa no especifica un nmero de versin de esta Licencia, Usted puede
elegir cualquier versin publicada alguna vez por la Free Software Foundation.

10. Si Usted desea incorporar partes del Programa dentro de otros Programas libres cuyas condiciones de
distribucin son diferentes, escriba al autor para pedirle permiso. Para el software cuyo copyright posee
la Free Software Foundation, escriba a la Free Software Foundation; a veces, nosotros hacemos excepciones a esto. Nuestra decisin estar guiada por los dos objetivos de preservar el estado libre de todos los
derivativos de nuestro software libre y de promover el compartir y volver a usar el software en general.

SIN GARANTIA
DEBIDO A QUE EL PROGRAMA SE LICENCIA SIN CARGO ALGUNO, NO HAY GARANTA PARA EL
MISMO, A LA EXTENSIN PERMITIDA POR LA LEY APLICABLE. EXCEPTO CUANDO SE INDIQUE
LO CONTRARIO POR ESCRITO LOS POSEEDORES DEL COPYRIGHT Y/O OTROS TERCEROS PROVEEN EL PROGRAMA TAL CUAL EST SIN GARANTAS DE TIPO ALGUNO, YA SEAN EXPRESAS
O IMPLCITAS, INCLUYENDO, PERO NO ESTANDO LIMITADO A, LAS GARANTAS IMPLCITAS DE
COMERCIALIZACIN Y CONVENIENCIA PARA UN PROPSITO EN PARTICULAR. USTED ASUME
TODOS LOS RIESGOS SOBRE LA CALIDAD Y RENDIMIENTO DEL PROGRAMA. SI EL PROGRAMA
DEMUESTRA SER DEFECTUOSO, USTED ASUME EL COSTO DE CUALQUIER SERVICIO, REPARACIN O CORRECCIN NECESARIOS.

EL POSEEDOR DEL COPYRIGHT, O CUALQUIER TERCERO QUE PUEDE MODIFICAR Y/O DISTRIBUIR EL PROGRAMA COMO SE PERMITE ARRIBA, NO ESTAR EXPUESTO DE MANERA ALGUNA
A USTED., A MENOS QUE SE REQUIERA POR LEY APLICABLE O SE ACUERDE POR ESCRITO, A
DAOS INCLUYENDO CUALQUIER DAO GENERAL, ESPECIAL, INCIDENTE O CONSECUENTE
DEBIDO AL USO O A LA IMPOSIBILIDAD DE HACER USO DEL PROGRAMA (INCLUYENDO, PERO
NO LIMITADO A, LA PRDIDA DE DATOS O QUE LOS DATOS SE VUELVAN IMPRECISOS O PRDIDAS SOSTENIDAS POR USTED O TERCEROS O UNA FALLA DEL PROGRAMA PARA OPERAR CON
CUALQUIER OTRO PROGRAMA), INCLUSO SI DICHO POSEEDOR U OTROS TERCEROS HAN SIDO
AVISADOS DE LA POSIBILIDAD DE TALES DAOS.

FIN DE LOS TRMINOS Y CONDICIONES

206

Apndice B. La Licencia Pblica General GNU

B.3. C
omo aplicar estos T
erminos a sus programas nuevos
Si Usted desarrolla un programa nuevo, y Usted quiere que sea de la mayor utilidad posible al pblico, la mejor manera de hacer esto es hacerlo software libre que todos puedan redistribuir y cambiar bajo estos trminos.
Para esto, agregue las notas siguientes al programa. Es ms seguro agregarlas al comienzo de cada archivo
fuente para hacer llegar la exclusin de la garanta de manera ms efectiva; y cada archivo debe tener al
menos la lnea copyright y un puntero a donde se encuentra la nota completa.
<una lnea para dar el nombre del programa y una idea breve de lo que hace.> Copyright (C) 20aa <nombre
del autor>
Este programa es software libre; Usted puede redistribuirlo y/o modificarlo bajo los trminos de la Licencia
Pblica General GNU como fue publicada por la Free Software Foundation; ya sea la versin 2 de la Licencia,
o (a su eleccin) cualquier versin posterior.
Este programa se distribuye con la esperanza de que ser til pero SIN GARANTA ALGUNA; incluso sin la
garanta implcita de COMERCIALIZACIN o CONVENIENCIA PARA UN PROPSITO EN PARTICULAR.
Vea la Licencia Pblica General GNU para ms detalles.
Usted debera haber recibido una copia de la Licencia Pblica General GNU junto con este programa; de no
ser as, escriba a la Free Software Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA
Tambin agregue informacin sobre como ponerse en contacto con Usted por medio de correo electrnico o
correo postal.
Si el programa es interactivo, haga que el mismo muestre una pequea nota como esta cuando inicia en un
modo interactivo:
Gnomovision versi
on 69, Copyright (C) 20aa <nombre del autor>
Gnomovision viene ABSOLUTAMENTE SIN GARANT
IA;
para detalles ingrese mostrar g.
Este es software libre, y Usted est
a alentado a redistribuirlo bajo ciertas
condiciones; ingrese mostrar c para m
as detalles.

Los comandos hipotticos mostrar g y mostrar c deberan mostrar las partes apropiadas de la Licencia
Pblica General. Por supuesto que los comandos que Usted use pueden denominarse de otra forma en vez de
mostrar g y mostrar c; incluso pueden ser clic con el ratn o elementos del men cualquier cosa que sea
adecuada para su programa.
Tambin debera hacer que su empleador (si Usted trabaja como programador) o su escuela, si corresponde, firmen una renuncia al copyright para el programa, si es necesario. Aqu tiene un ejemplo; cambie los
nombres adecuadamente:
Yoyodine, Inc., por la presente renuncia a todos los intereses del copyright del programa Gnomovision (que
pasa a sus compiladores) escrito por Pedro Hacker.
<firma de Juan Perez>, 1 de Abril 2000 Juan Perez, Presidente de Compaa
Esta Licencia Pblica General no permite incorporar a su programa dentro de programas propietarios. Si su
programa es una biblioteca de subrutinas, Usted puede considerar ms til el permitir enlazar aplicaciones
propietarias con la biblioteca. Si esto es lo que Usted desea hacer, use la Licencia Pblica General de Biblioteca
GNU en lugar de esta Licencia.

207

Apndice B. La Licencia Pblica General GNU

208

Ap
endice C. Licencia de Documentaci
on Libre GNU
C.1. Acerca de la traducci
on al castellano de la Licencia de Documentaci
on Libre GNU
This is an unofficial translation of the GNU Free Documentation License into Spanish. It was not published
by the Free Software Foundation, and does not legally state the distribution terms for documentation that
uses the GNU FDL--only the original English text of the GNU FDL does that. However, we hope that this
translation will help Spanish speakers understand the GNU FDL better.
Esta es una traduccin no oficial al castellano de la Licencia de Documentacin Libre (FDL) GNU. No fue
publicada por la Fundacin de Software Libre (FSF), y legalmente no establece los trminos de distribucin
de la documentacin que usa la GNU FDL -- slo el texto original en ingls de la GNU FDL hace eso. Sin
embargo, esperamos que esta traduccin ayudar a las personas que hablan castellano a comprender mejor la
FDL GNU.
Traducido por Fabian Mandelbaum en Marzo de 2001. Pars. Francia.

C.2. Licencia de Documentaci


on Libre GNU
Versin 1.1, Marzo 2000
Copyright (C) 2000 Free Software Foundation, Inc. 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA Se permite
a todos copiar y distribuir copias textuales del documento de esta licencia, pero cambiar la misma no est permitido.

0. PREAMBULO
El propsito de esta Licencia es hacer libre al manual, libro de texto, u otra documentacin escrita, en el sentido de libertad: para asegurar a cualquiera la libertad efectiva de copiar o volver a distribuir el material, con
o sin modificacin, ya sea comercialmente o no comercialmente. En segundo trmino, esta Licencia preserva
para el autor y para quien lo publica una forma de obtener crdito por su trabajo, a la vez que no se pueden
considerar responsables por las modificaciones hechas por otros.
Esta Licencia es una especie de copyleft, lo cual significa que los trabajos derivados del documento deben
ser, en s mismos, libres en el mismo sentido. La misma complementa a la Licencia Pblica General GNU, la
cual es una licencia copyleft diseada para el software libre.
Hemos diseado esta licencia para poder usarla para los manuales del software libre, debido a que el software
libre necesita documentacin libre: un programa libre debera estar acompaado de manuales que proporcionen las mismas libertades que proporciona dicho programa. Pero esta Licencia no est limitada a los manuales
de software; la misma se puede usar para cualquier trabajo de textos, independientemente del tema o si se
publica como libro impreso. Recomendamos esta Licencia principalmente para trabajos cuyo propsito sea
instructivo o de referencia.

1. APLICABILIDAD y DEFINICIONES
Esta Licencia aplica a cualquier manual o cualquier otro trabajo que contiene una nota del propietario del
copyright que diga que se puede distribuir bajo los trminos de esta Licencia. En adelante, Documento
refiere a cualquiera de dichos manuales o trabajos. Cualquier miembro del pblico disfruta de la licencia, y se
denominar al mismo como Usted.
Una Versin Modificada del Documento significa cualquier trabajo que contiene al Documento o a una
porcin del mismo, ya sea copiada textualmente, o con modificaciones y/o traducida a otro idioma.
Una Seccin Secundaria es un apndice nombrado o una seccin de carcter central del Documento que
trata exclusivamente con la relacin de los publicadores o autores del Documento con el tema general del
Documento (o con temas relacionados) y no contiene cosa alguna que pueda caer directamente dentro de ese
tema general. (Por ejemplo, si el Documento es una parte de un libro de texto sobre matemticas, una Seccin
Secundaria puede no explicar matemtica alguna.) La relacin puede ser slo una cuestin de conexin histrica con el tema o con temas relacionados, o de posicin legal, comercial, filosfica, tica, o poltica respecto de
dichos temas
Las Secciones Invariantes son ciertas Secciones Secundarias cuyos ttulos se designan, como parte de esas
Secciones Invariantes, en la nota que dice que el Documento se libera bajo esta Licencia.

209

Apndice C. Licencia de Documentacin Libre GNU


Los Textos de Cubierta son ciertos pasajes de texto pequeos que se listan, tales como Textos de Tapa o
Textos de Contra-tapa, en la nota que dice que el Documento se libera bajo esta Licencia.
Una copia Transparente del Documento significa una copia legible por una mquina, representada en un
formato cuya especificacin est disponible al pblico general, cuyo contenido se pueda ver y editar directa
e inmediatamente con editores de texto genricos o (para las imgenes compuestas de pixels) programas
genricos de pintado o (para los dibujos) algn editor de dibujos disponible ampliamente, y que es adecuado
como entrada de formateadores de texto o para la traduccin automtica a una variedad de formatos aptos
para usar como entrada de formateadores de texto. Una copia hecha en un formato que de otra forma sera
Transparente cuya anotacin ha sido diseada para frustrar o desalentar la modificacin subsecuente hecha
por sus lectores no es Transparente. Una copia que no es Transparente se denomina Opaca.
Ejemplos de formatos adecuados para copias Transparentes incluyen ASCII plano sin anotacin, formato de
entrada Texinfo, formato de entrada LaTeX, SGML o XML usando un DTD disponible pblicamente, y HTML
simple de acuerdo a las normas diseado para que las personas lo puedan modificar. Los formatos Opacos
incluyen PostScript, PDF, formatos propietarios que slo se pueden leer y editar con procesadores de texto
propietarios, SGML o XML para el cual el DTD y/o las herramientas de procesado no estn disponibles para
el pblico en general, y el HTML generado por la mquina que producen algunos procesadores de texto slo
con propsitos de presentacin.
La Pgina del Ttulo significa, para un libro impreso, la pgina del ttulo propiamente dicha, ms tales
pginas siguientes, necesarias para contener, legiblemente, el material que esta Licencia necesita que aparezca
en la pgina del ttulo. Para trabajos en formatos que no tienen pgina de ttulo alguna, la Pgina del Ttulo
significa el texto que est cerca de la aparicin ms prominente del ttulo del trabajo, que precede al comienzo
del cuerpo del texto.

2. COPIADO TEXTUAL
Usted puede copiar y distribuir el Documento en cualquier medio, ya sea comercialmente o no comercialmente, siempre y cuando esta Licencia, las notas acerca del copyright, y la nota de la licencia que dice que
esta Licencia aplica al Documento se reproduzcan en todas las copias, y que Usted no agregue otras condiciones cualesquiera que sean a aquellas de esta Licencia. Usted no puede usar medidas tcnicas para obstruir o
controlar la lectura o la copia posterior de las copias que hace o distribuye. Sin embargo, puede aceptar una
compensacin a cambio de copias. Si distribuye una cantidad suficientemente grande de copias tambin debe
seguir las condiciones de la seccin 3.
Tambin puede prestar copias, bajo las mismas condiciones que se indican arriba, y puede mostrar copias
pblicamente.

3. COPIADO EN CANTIDAD
Si publica copias impresas del Documento en cantidad mayor a 100, y la nota de la licencia del Documento
necesita de Textos de Cubierta, debe incluir las copias en cubiertas que lleven, clara y legiblemente, todos esos
Textos de Cubierta: los Textos de Tapa en la tapa, y los Textos de Contra-tapa en la contra-tapa. Ambas cubiertas tambin deben identificarlo clara y legiblemente como quien publica estas copias. La cubierta frontal
debe presentar el ttulo completo con todas las palabras o el ttulo con igual prominencia y visibilidad. Adicionalmente, Usted puede agregar otro material sobre las cubiertas. El copiado con cambios limitados a las
cubiertas, siempre y cuando las mismas preserven el ttulo del Documento y satisfagan estas condiciones, se
puede tratar como copiado textual en otros sentidos.
Si los textos que necesita cualquier cubierta son muy voluminosos para caber de forma legible, debera poner
los primeros que se listan (tantos como quepan razonablemente) sobre la cubierta real, y continuar con el resto
sobre las pginas adyacentes.
Si publica o distribuye copias Opacas del Documento en cantidad mayor a 100, debe incluir o bien una copia
Transparente legible por una mquina junto con cada copia Opaca, o bien mencionar en o con cada copia Opaca una ubicacin en una red de computadoras accesible pblicamente que contenga una copia Transparente
completa del Documento, libre de material agregado, que el pblico general que usa la red tenga acceso a
transferir annimamente sin cargo alguno usando protocolos de red pblicos y normalizados. Si usa la ltima opcin, debe tomar pasos razonablemente prudentes cuando comience la distribucin de copias Opacas en
cantidad, para asegurar que esta copia Transparente permanecer accesible de esta forma en la ubicacin mencionada por lo menos durante un ao despus de la ltima vez que distribuy una copia Opaca (directamente
o por medio de sus agentes o distribuidores) de esa edicin al pblico.
210

Apndice C. Licencia de Documentacin Libre GNU


Se pide, aunque no es necesario, que contacte a los autores del Documento con anterioridad suficiente antes
de comenzar a redistribuir cualquier cantidad grande de copias, de forma de darles una oportunidad para
proporcionarle a Usted una versin actualizada del Documento.

4. MODIFICACIONES
Puede copiar y distribuir una Versin Modificada del Documento bajo las condiciones de las secciones 2 y
3 de arriba, siempre y cuando libere a la Versin Modificada precisamente bajo esta Licencia, con la Versin
Modificada cumpliendo el rol del Documento, de forma tal que se licencia la distribucin y modificacin de la
Versin Modificada a quienquiera posea una copia de la misma. Adicionalmente, debe hacer lo siguiente en
la Versin Modificada:
A. Usar en la Pgina del Ttulo (y sobre las cubiertas, si es que hay alguna) un ttulo distinto del ttulo del
Documento, y de aquellos de las versiones previas (las cuales deberan, en caso que existan, estar listadas
en la seccin Historia del Documento). Usted puede usar el mismo ttulo que una versin previa si el
publicador original de esa versin da permiso.
B. Listar en la Pgina del Ttulo, como autores, a una o ms personas o entidades responsables por la autora
de las modificaciones en la Versin Modificada, junto con al menos cinco de los autores principales del
Documento (todos sus autores principales, si el mismo tiene menos de cinco).
C. Mencionar en la Pgina del Ttulo el nombre del editor de la Versin Modificada, como el editor.
D. Preservar todas las notas de copyright del Documento.
E. Agregar una nota de copyright apropiada para las modificaciones hechas por Usted adyacente a las otras
notas de copyright.
F. Incluir, inmediatamente despus de las notas de copyright, una nota de licencia que da permiso al pblico
general para usar la Versin Modificada bajo los trminos de esta Licencia, en la forma que se muestra en
el Apndice ms adelante.
G. Preservar en dicha nota de licencia las listas completas de las Secciones Invariantes y los Textos de Cubierta
necesarios que se dan en la nota de licencia del Documento.
H. Incluir una copia sin alterar de esta Licencia.
I. Preservar la seccin titulada "Historia" y el ttulo de la misma, y agregar a la misma un tem que mencione
al menos el ttulo, ao, autores nuevos, y publicador de la Versin Modificada como se da en la Pgina
del Ttulo. Si en el Documento no hay seccin alguna titulada "Historia", crear una que mencione el ttulo,
ao, autores, y publicador del Documento como se da en la Pgina del Ttulo, luego agregar un tem que
describa la Versin Modificada como se mencion en la oracin anterior.
J. Preservar la ubicacin de red, si hay alguna, dada en el Documento para el acceso pblico a una copia
Transparente del Documento, y de la misma manera las ubicaciones de red dadas en el Documento para
las versiones previas en la que el mismo se basa. Estas pueden colocarse en la seccin "Historia". Usted
puede omitir una ubicacin de red para un trabajo que fue publicado al menos cuatro aos antes que el
Documento propiamente dicho, o si el publicador original de la versin a la cual se refiere da permiso.
K. En cualquier seccin titulada "Reconocimientos" o "Dedicatorias", preservar el ttulo de la seccin, y preservar en la seccin toda la sustancia y el tono de cada uno de los reconocimientos a los contribuyentes
y/o dedicaciones aqu mencionados.
L. Preservar todas las Secciones Invariantes del Documento, inalteradas en su texto y en sus ttulos. Los
nmeros de seccin o el equivalente no se consideran parte de los ttulos de seccin.
M. Borrar cualquier seccin titulada "Aprobaciones". Tal seccin no puede incluirse en la Versin Modificada.
N. No cambiar el ttulo de seccin alguna por "Aprobaciones" o de forma tal que genere un conflicto con
cualquier Seccin Invariante.
Si la Versin Modificada incluye nuevas secciones o apndices de carcter central que califican como Secciones
Secundarias y no contienen material copiado del Documento, Usted puede a su eleccin designar a alguna o
todas estas secciones como invariantes. Para hacer esto, agregue los ttulos de las mismas a la lista de Secciones
Invariantes en la nota de licencia de la Versin Modificada. Estos ttulos deben ser distintos de los ttulos de
cualquier otra seccin.

211

Apndice C. Licencia de Documentacin Libre GNU


Usted puede agregar una seccin titulada "Aprobaciones", siempre y cuando no contenga otra cosa que aprobaciones de terceros de su Versin Modificada--por ejemplo, menciones de revisiones hechas por sus pares o
que el texto ha sido aprobado por una organizacin como la definicin fidedigna de una normativa.
Puede agregar un pasaje de hasta cinco palabras como un Texto de Tapa, y un pasaje de hasta veinticinco
palabras como un Texto de Contra-tapa, al final de la lista de Textos de Cubierta en la Versin Modificada.
Slo puede agregarse un pasaje del Texto de Tapa y uno del Texto de Contra-tapa por medio de una entidad
(o por medio de contratos hechos con una). Si el Documento ya incluye un texto de cubierta para la misma
cubierta, agregado con anterioridad por Usted o por un contrato hecho por la misma entidad en nombre de la
cual Usted est actuando, no puede agregar otro; pero puede reemplazar el anterior, sobre permiso explcito
del publicador previo que agreg el anterior.
El(Los) autor(es) y publicador(es) del Documento no dan por medio de esta Licencia permiso para usar sus
nombres para publicidad para o para imponer o implicar atribucin de cualquier Versin Modificada.

5. COMBINANDO DOCUMENTOS
Usted puede combinar el Documento con otros documentos liberados bajo esta Licencia, bajo los trminos
definidos en la seccin 4 de arriba para las versiones modificadas, siempre y cuando incluya en la combinacin
todas las Secciones Invariantes de todos los documentos originales, sin modificaciones, y las liste a todas como
Secciones Invariantes de su trabajo combinado en la nota de licencia del mismo.
El trabajo combinado slo debe contener una copia de esta Licencia, y mltiples Secciones Invariantes idnticas se pueden reemplazar con una copia nica. Si hay mltiples Secciones Invariantes con el mismo nombre
pero contenido diferente, haga que el ttulo de cada una de dichas secciones sea nico, agregando al final del
mismo, entre parntesis, el nombre del autor o editor original de esa seccin si se conoce, o de lo contrario un
nmero nico. Haga el mismo ajuste a los ttulos de seccin en la lista de Secciones Invariantes en la nota de
licencia del trabajo combinado.
En la combinacin, Usted debe combinar cualquier seccin titulada "Historia" en los distintos documentos
originales, formando una seccin titulada "Historia"; de la misma forma, combine cualquier seccin titulada
"Agradecimientos", y cualquier seccin titulada "Dedicatorias". Usted debe borrar todas las secciones tituladas
"Aprobaciones."

6. COLECCIONES DE DOCUMENTOS
Usted puede hacer una coleccin que consista del Documento y otros documentos liberados bajo esta Licencia,
y reemplazar las copias individuales de esta Licencia en los distintos documentos con una nica copia que se
incluya en la coleccin, siempre y cuando siga las reglas de esta Licencia para copiado textual de cada uno de
los documentos en todos los otros sentidos.
Puede extraer un nico documento de tal coleccin, y distribuirlo individualmente bajo esta Licencia, siempre
y cuando inserte una copia de esta Licencia dentro del documento extrado, y siga esta Licencia en todos los
dems sentidos que traten con el copiado literal de ese documento.

CON TRABAJOS INDEPENDIENTES


7. AGREGACION
Una compilacin del Documento o sus derivados con otros documentos o trabajos separados e independientes, en o sobre un volumen de un medio de almacenamiento o distribucin, no cuenta como un todo como
una Versin Modificada del Documento, siempre y cuando no se reclame copyright alguno sobre la compilacin. Una compilacin tal, se denomina una "agregacin", y esta Licencia no aplica a los dems trabajos
auto-contenidos compilados por lo tanto con el Documento, o a cuenta de haber sido compilados de esta
manera, si ellos mismos no son trabajos derivados del Documento.
Si el requisito de Texto de Cubierta de la seccin 3 se aplica a estas copias del Documento, entonces si el
Documento es menos que un cuarto de toda la agregacin, los Textos de Cubierta del Documento pueden
colocarse en cubiertas que rodeen slo al Documento dentro de la agregacin. De no ser as los mismos deben
aparecer en las cubiertas alrededor de la agregacin completa.

212

Apndice C. Licencia de Documentacin Libre GNU

8. TRADUCCION
La traduccin se considera una especie de modificacin, por lo tanto puede distribuir traducciones del Documento bajo los trminos de la seccin 4. El reemplazo de Secciones Invariantes con traducciones requiere
permiso especial de los propietarios del copyright, pero Usted puede incluir traducciones de alguna o de todas
las Secciones Invariantes adems de las versiones originales de estas Secciones Invariantes. Puede incluir una
traduccin de esta Licencia siempre y cuando tambin incluya la versin original en Ingls de esta Licencia. En
caso de desacuerdo entre la traduccin y la versin original en Ingls de esta Licencia, prevalecer la versin
original en Ingls.

9. TERMINACION
Usted no puede copiar, modificar, sub-licenciar, o distribuir el Documento excepto como se ha previsto para
tales fines bajo esta Licencia. Cualquier otro intento de copiar, modificar, sub-licenciar o distribuir el Documento es nulo, y terminar automticamente sus derechos bajo esta Licencia. Sin embargo, las partes que
han recibido copias, o derechos, de parte de Usted bajo esta Licencia no harn que terminen sus respectivas
licencias mientras que dichas partes permanezcan en completo cumplimiento.

10. REVISIONES FUTURAS DE ESTA LICENCIA


De vez en cuando, la Fundacin del Software Libre (Free Software Foundation) puede publicar versiones
nuevas, revisadas de la Licencia de Documentacin Libre GNU. Tales versiones nuevas sern similares en
espritu a la presente versin, pero pueden diferir en detalle para solucionar problemas o preocupaciones
nuevas. Vea copyleft (http://www.gnu.org/copyleft/).
A cada versin de la Licencia se la da un nmero de versin distintivo. Si el Documento especifica que un
nmero de versin de esta Licencia en particular "o cualquier otra versin posterior" aplica al mismo, Usted
tiene la opcin de seguir los trminos y condiciones de cualquier aquella versin especificada o de cualquier
versin posterior que ha sido publicada (no como borrador) por la Free Software Foundation. Si el Documento
no especifica un nmero de versin de esta Licencia, puede elegir cualquier versin que haya sido publicada
(no como borrador) por la Free Software Foundation.

C.3. C
omo usar esta Licencia para sus documentos
Para usar esta Licencia en un documento que Usted ha escrito, incluya una copia de la Licencia en el documento y ponga las notas del copyright y la licencia siguientes justo despus de la pgina del ttulo:
Copyright (c) AO SU NOMBRE. Permission is granted to copy, distribute and/or modify this document under the
terms of the GNU Free Documentation License, Version 1.1 or any later version published by the Free Software Foundation; with the Invariant Sections being LISTE LOS TTULOS, with the Front-Cover Texts being LISTA, and with the
Back-Cover Texts being LISTA. A copy of the license is included in the section entitled "GNU Free Documentation
License".

Si no tiene Seccin Invariante alguna, escriba "sin Secciones Invariantes" en vez de decir cuales secciones son
invariantes. Si no tiene Textos de Tapa, escriba "sin Textos de Tapa" en vez de "Con los Textos de Tapa LISTA";
de la misma forma para los Textos de Contra-tapa.
Si su documento contiene ejemplos no triviales de cdigo de programa, recomendamos liberar estos ejemplos
en paralelo bajo su eleccin de licencia de software libre, tal como la Licencia Pblica General GNU, para
permitir el uso de los ejemplos en software libre.

213

Apndice C. Licencia de Documentacin Libre GNU

214