Linux
teu
Riders
DpuzZUvAY VIND HeIndice de contenido
Acerca del autor
Acerca de los revisores
Agradecimientos
Introduccion .
1 ConsipERACIONES PREVIAS.
1 Conceptos basicos subyacentes a los firewalls de filtrado de
paquetes ..... .
EI modelo de referencia TCP/IP para redes
Puertos de servicio: la puerta a los programas en su sistema
Paquetes: mensajes de red IP
Resumen
TI FIeTRabO DE PAQUETES Y MEDIDAS BASICAS DE SEGURIDAD
2 Concepto del filtrado de paquetes
Un Firewall de filtrado de paquetes .......
Flecci6n de una directiva predeterminada de filtrado de paguetes -
Rechazar frente a denegar un paquete
Cémo filtrar los paquetes entrantes
Cémo filtrar paquetes salientes
Servicios de red privados frente a publicos
Resumen :
3. Creaci6n e instalacion de un firewall
ipchains: El programa de administracién de firewall de Linux
Ini i6n del firewall ...... .
Como filtrar los mensajes de estado y de control ICMP
Gomo proteger los servicios en los puertos no privilegiados asignados..
‘Como habilitar los servicios basicos necesarios de Internet
‘Como habilitar servicios TCP habituales
Como habilitar servicios UDP habituales
Como registrar los paquetes entrantes denegados .
6mo denegar todo tipo de acceso a sitios problematicos ..
Cémo habilitar el acceso LAN
Instalaci6n del firewall
Resumen
115
121
123
123
126
128vi Indice de contenido
4 Redes de perimetro, firewalls maltiples y problemas con las
TAN ose : : 129
Cuestiones de seguridad relacionadas con las LAN : 131
Opciones de configuraci6n para una LAN particular segura .. 132
Opciones de configuracién para una mayor 0 menor LAN segura ......_ 136
Un firewall formal de exploraci6n de subred 149
Resumen 232
5 Depuracion de las reglas del firewall 233
Sugerencias generales sobre la programaci6n de firewalls ..... 233,
Cémo listar las reglas del firewall 235
Comprobacién de las reglas de entrada, salida y reenvio = 2
‘Cémo comprobar un paquete concreto con las reglas de firewall 247
Comprobacién de los puertos abiertos .. en 249
Depuracién de SSH: un ejemplo de la vida real 253
Reames : . = 256
TIL SUPFRVISION Y SEGURIDAD A NIVEL DE SISTEMA.
6 Comprobaci6n de que el sistema funciona como se espera... 257
Cémo comprobar las interfaces de red con ifconfig, 260
Como comprobar la conexi6n de red con ping : | tol
Cémo comprobar los procesos de red con netstat 262
Cémo comprobar todos los procesos con ps -ax onnsenne — 264
Cémo interpretar los registros del sistema .....ceoeee 267
Resumen 276
7 Problemas a nivel de administraci6n del sistema UNIX 277
jn: comprobacién de la identidad 277
Autorizacién: como definir los derechos de acceso identidades 281
ConfiguraciOn especifica del servidor 287
SOCKS: un firewall proxy de nivel de aplicaci6n ossneunnen — 327
Cuentas varias del sistema en /etc/passwd y /et¢/group 328
Configuraci6n de la variable PATH wos nen | 3a
Inicio de sesién remoto 331
Mantenerse al dia con actualizaciones de software « 332
Resumen 333
8 Informes de incidentes y detecci6n de intrUsOs ccc 335
‘Comprobadores de integridad del sistema 336
tomas que sugicren que el sistema puede estar comprometido ..... 339
iQué hacer si el sistema esta comprometido? = 343
Informacién de incidentes 344
Resumen 351
IV Apenpices
A Recursos de seguridad... See 353
Fuentes de informacion - 355
Colecciones de software . 356
Herramientas de seguridad ... 356
Herramientas de firewall 358
Papeles de referencia y FAQ 359Indice de contenido
Documentacién en linea
Sitios web generales
Libros
B__Ejemplos de firewalls y secuencias de comandos compatibles
ipchains re.firewall para un sistema individual o para una LAN parti-
cular del Capitulo 3 .
ipfwadm rc.firewall para un
cular del Capitulo 3 .....
Optimizacién de las reglas de firewall
Secuencias de comandos compatibles de propésito especial
DHCP: compatibilidad del firewall con una direcci6n IP dit
servidores de nombres
C Glosario .
Indice alfabético
360
361
362
363,
364
381
398
428
431
439
453,
vilAcerca del autor
Robert L. Ziegler se gradué en la Universidad de Wisconsin-Madison con una li-
cenciatura de grado medio en Psicologia, ademas de terminar las licenciaturas de Ale-
man y Filosofia. Después de dedicarse a la educacion y a las carreras estudiadas, de-
cidié hacer de su carrera un hobby y estudié un master en Ciencias de la computa-
ci6n, también en la Universidad de Wisconsin- Madison.
Una vez fuera de la universidad, Bob se convirtié cn una de las dos personas de
un equipo de programadores de sistemas operativos UNIX que trabajan para una com-
pafiia que desarrollaba una mini-supercomputadora. Desarrollé una version multipro-
dor del UNIX BSD 4.3 como un proyecto paralelo a los esfuerzos de desarrollo
uniprocesador que tenia en marcha el equipo. Desde entonces, ha trabajado como
programador del nicleo de sistemas operativos UNIX para compajiias de 1+D en el
area de Boston.
La llegada de Linux y el acceso del consumidor a la conectividad Internet 24/7 dio
a Bob las claves para un suefio que albergaba desde 1982: tener su propio servidor y
su propia LAN UNIX en su hogar. Lo que empez6 como un esfuerzo pragmatico por
realizar su propio sistema seguro en Internet, rapidamente crecié como una pasion
por el usuario particular de UNIX. Ofrece gratuitamente al publico, servicios de dise-
fio de firewall (cortafuegos o servidor de seguridad) de Linux basados en Web, al
igual que un firewall popular y unas FAQ de LAN para ayudar a las personas a conse-
guir configurar ripidamente sus sistemas LINUX de forma segura.
‘Ahora es ingeniero jefe de Nokia, y esti disefiando y programando productos de
firewall para la familia de productos Ipsilon de Nokia.Acerca de los revisores
Debbie Dailey es actualmente administradora de sistemas UNIX para un lider
mundial en productos de conexién. Trabajé con mainframes durante seis afios antes
de volver a la universidad para estudiar Ciencias de la computacion, especializéndose
en seguridad de redes. Debbie empez6 su carrera en UNIX como estudiante de pric-
ticas de administracion de sistemas mientras asistia a clase. Recientemente ha recibi-
do su licenciatura en Ciencias de la computacién por la Universidad de Purdue.
El Dr. Craig Hollabaugh ha sido un devoto de UNIX desde su primera confe-
rencia en 1985, Administré estaciones de trabajo de Sun a la vez que seguia un doc-
torado en ingenicria eléctrica sobre simulaciGn analogica interactiva en el Instituto de
Tecnologia de Georgia. Luego desarrollé herramientas de interfaz de C++ para el so-
lucionador interactivo de gradientes paralelos distribuido en el laboratorio de dina
mica de fluidos de computaci6n de la Universidad de Texas. En 1995, cuando creé su
primera compaiiia (que nacié con un capital nulo), Wireless Scientific, desarrollé una
aplicaci6n de telemetria industrial inalambrica centrada en Linux. Posteriormente, su
brillante carrera como consultor de Craig le llevé a Cambridge, Massachussets, donde
ahora es el vicepresidente de ingenieria en Kiava Systems. Se dedica a supervisar la in-
tegraciOn de Kiava y el desarrollo del hardware DSP incrustado. Su interés personal
por la investigacién se centra en la simulacién interactiva en matematicas elementa-
les y en la ensefianza de la ciencia.
Uno de mis dos amigos de toda la vida muri6 mientras escribia este libro.
A Gloria Frawley, quien a lo largo de la vida ha sido amiga, amante, bermano,
bermana, padre, hijo, marido, esposa. Hasta que volvamos a caminar juntos,
&racias por el amor mas puro, mas verdadero y mas desinteresado que be
conocido, y por ser la mejor compariera que yo nunca pudiera baber esperado.Agradecimientos
Nunca he comprendido por qué la gente escribe las secciones de agradecimien-
tos. 2Quién se molesta en leerlas? Bien, ahora comprendo mejor el porqué.
Asi, quiero agradecer a Bill Sommerfeld por ofrecerme el primer tutorial cuando
se dio cuenta de lo negado que era; a Gary Zaidenweber por recalcarme la necesidad
de la seguridad y por ayudarme, en un primer momento, a configurar mi sistema; a
mis otros amigos de Hewlett-Packard, que me dieron animos para ir detris de mi pa-
sin, especialmente a Mary MacGregor y a mi administradora Cindy Buhner, quienes
son mucho mas agradecidas de lo que pueden imaginarse; a Paul Fox por enviarme
una copia de su propio firewall cuando estaba empezando esta andadura; a Craig Ho-
llabaugh por su generosidad a la hora de dedicar semanas a la revision editorial de las
FAQ en las que se basa este libro; a Karl Runge por ofrecer semanas de revisiGn a las
reglas de firewall; a numerosos clientes del grupo de noticias NorthEast Mediaone; a
mi madre, quien confié en mi para que encontrase mi propio camino cuando pasaba
apuros con los problemas propios después de terminar la carrera durante un afio; a
Regina Weyer por estar siempre alli, a millas de distancia y durante todos los afios; a
Jonathan Kaplan por ser una fuente de esperanza y apoyo; a Old Person por ser un
‘amigo constante y una fuente de 4nimo durante los tiltimos afios; a Alan Small por re-
hacer amablemente las partes mas dificiles del texto de este libro, y, por tiltimo, pero
fo menos importante, a Kitty Jarrett, mi editora, quien de alguna forma sobrevivio a
toda mi inexperiencia. Kitty habla de forma suave y sin malicia. Simplemente observa
y pregunta, a menudo con humor,
Redes Informáticas: Una Guía Compacta para el principiante que Desea Entender los Sistemas de Comunicaciones, la Seguridad de las Redes, Conexiones de Internet, Ciberseguridad y Piratería