Linux teu Riders DpuzZUvAY VIND HeIndice de contenido Acerca del autor Acerca de los revisores Agradecimientos Introduccion . 1 ConsipERACIONES PREVIAS. 1 Conceptos basicos subyacentes a los firewalls de filtrado de paquetes ..... . EI modelo de referencia TCP/IP para redes Puertos de servicio: la puerta a los programas en su sistema Paquetes: mensajes de red IP Resumen TI FIeTRabO DE PAQUETES Y MEDIDAS BASICAS DE SEGURIDAD 2 Concepto del filtrado de paquetes Un Firewall de filtrado de paquetes ....... Flecci6n de una directiva predeterminada de filtrado de paguetes - Rechazar frente a denegar un paquete Cémo filtrar los paquetes entrantes Cémo filtrar paquetes salientes Servicios de red privados frente a publicos Resumen : 3. Creaci6n e instalacion de un firewall ipchains: El programa de administracién de firewall de Linux Ini i6n del firewall ...... . Como filtrar los mensajes de estado y de control ICMP Gomo proteger los servicios en los puertos no privilegiados asignados.. ‘Como habilitar los servicios basicos necesarios de Internet ‘Como habilitar servicios TCP habituales Como habilitar servicios UDP habituales Como registrar los paquetes entrantes denegados . 6mo denegar todo tipo de acceso a sitios problematicos .. Cémo habilitar el acceso LAN Instalaci6n del firewall Resumen 115 121 123 123 126 128vi Indice de contenido 4 Redes de perimetro, firewalls maltiples y problemas con las TAN ose : : 129 Cuestiones de seguridad relacionadas con las LAN : 131 Opciones de configuraci6n para una LAN particular segura .. 132 Opciones de configuracién para una mayor 0 menor LAN segura ......_ 136 Un firewall formal de exploraci6n de subred 149 Resumen 232 5 Depuracion de las reglas del firewall 233 Sugerencias generales sobre la programaci6n de firewalls ..... 233, Cémo listar las reglas del firewall 235 Comprobacién de las reglas de entrada, salida y reenvio = 2 ‘Cémo comprobar un paquete concreto con las reglas de firewall 247 Comprobacién de los puertos abiertos .. en 249 Depuracién de SSH: un ejemplo de la vida real 253 Reames : . = 256 TIL SUPFRVISION Y SEGURIDAD A NIVEL DE SISTEMA. 6 Comprobaci6n de que el sistema funciona como se espera... 257 Cémo comprobar las interfaces de red con ifconfig, 260 Como comprobar la conexi6n de red con ping : | tol Cémo comprobar los procesos de red con netstat 262 Cémo comprobar todos los procesos con ps -ax onnsenne — 264 Cémo interpretar los registros del sistema .....ceoeee 267 Resumen 276 7 Problemas a nivel de administraci6n del sistema UNIX 277 jn: comprobacién de la identidad 277 Autorizacién: como definir los derechos de acceso identidades 281 ConfiguraciOn especifica del servidor 287 SOCKS: un firewall proxy de nivel de aplicaci6n ossneunnen — 327 Cuentas varias del sistema en /etc/passwd y /et¢/group 328 Configuraci6n de la variable PATH wos nen | 3a Inicio de sesién remoto 331 Mantenerse al dia con actualizaciones de software « 332 Resumen 333 8 Informes de incidentes y detecci6n de intrUsOs ccc 335 ‘Comprobadores de integridad del sistema 336 tomas que sugicren que el sistema puede estar comprometido ..... 339 iQué hacer si el sistema esta comprometido? = 343 Informacién de incidentes 344 Resumen 351 IV Apenpices A Recursos de seguridad... See 353 Fuentes de informacion - 355 Colecciones de software . 356 Herramientas de seguridad ... 356 Herramientas de firewall 358 Papeles de referencia y FAQ 359Indice de contenido Documentacién en linea Sitios web generales Libros B__Ejemplos de firewalls y secuencias de comandos compatibles ipchains re.firewall para un sistema individual o para una LAN parti- cular del Capitulo 3 . ipfwadm rc.firewall para un cular del Capitulo 3 ..... Optimizacién de las reglas de firewall Secuencias de comandos compatibles de propésito especial DHCP: compatibilidad del firewall con una direcci6n IP dit servidores de nombres C Glosario . Indice alfabético 360 361 362 363, 364 381 398 428 431 439 453, vilAcerca del autor Robert L. Ziegler se gradué en la Universidad de Wisconsin-Madison con una li- cenciatura de grado medio en Psicologia, ademas de terminar las licenciaturas de Ale- man y Filosofia. Después de dedicarse a la educacion y a las carreras estudiadas, de- cidié hacer de su carrera un hobby y estudié un master en Ciencias de la computa- ci6n, también en la Universidad de Wisconsin- Madison. Una vez fuera de la universidad, Bob se convirtié cn una de las dos personas de un equipo de programadores de sistemas operativos UNIX que trabajan para una com- pafiia que desarrollaba una mini-supercomputadora. Desarrollé una version multipro- dor del UNIX BSD 4.3 como un proyecto paralelo a los esfuerzos de desarrollo uniprocesador que tenia en marcha el equipo. Desde entonces, ha trabajado como programador del nicleo de sistemas operativos UNIX para compajiias de 1+D en el area de Boston. La llegada de Linux y el acceso del consumidor a la conectividad Internet 24/7 dio a Bob las claves para un suefio que albergaba desde 1982: tener su propio servidor y su propia LAN UNIX en su hogar. Lo que empez6 como un esfuerzo pragmatico por realizar su propio sistema seguro en Internet, rapidamente crecié como una pasion por el usuario particular de UNIX. Ofrece gratuitamente al publico, servicios de dise- fio de firewall (cortafuegos o servidor de seguridad) de Linux basados en Web, al igual que un firewall popular y unas FAQ de LAN para ayudar a las personas a conse- guir configurar ripidamente sus sistemas LINUX de forma segura. ‘Ahora es ingeniero jefe de Nokia, y esti disefiando y programando productos de firewall para la familia de productos Ipsilon de Nokia.Acerca de los revisores Debbie Dailey es actualmente administradora de sistemas UNIX para un lider mundial en productos de conexién. Trabajé con mainframes durante seis afios antes de volver a la universidad para estudiar Ciencias de la computacion, especializéndose en seguridad de redes. Debbie empez6 su carrera en UNIX como estudiante de pric- ticas de administracion de sistemas mientras asistia a clase. Recientemente ha recibi- do su licenciatura en Ciencias de la computacién por la Universidad de Purdue. El Dr. Craig Hollabaugh ha sido un devoto de UNIX desde su primera confe- rencia en 1985, Administré estaciones de trabajo de Sun a la vez que seguia un doc- torado en ingenicria eléctrica sobre simulaciGn analogica interactiva en el Instituto de Tecnologia de Georgia. Luego desarrollé herramientas de interfaz de C++ para el so- lucionador interactivo de gradientes paralelos distribuido en el laboratorio de dina mica de fluidos de computaci6n de la Universidad de Texas. En 1995, cuando creé su primera compaiiia (que nacié con un capital nulo), Wireless Scientific, desarrollé una aplicaci6n de telemetria industrial inalambrica centrada en Linux. Posteriormente, su brillante carrera como consultor de Craig le llevé a Cambridge, Massachussets, donde ahora es el vicepresidente de ingenieria en Kiava Systems. Se dedica a supervisar la in- tegraciOn de Kiava y el desarrollo del hardware DSP incrustado. Su interés personal por la investigacién se centra en la simulacién interactiva en matematicas elementa- les y en la ensefianza de la ciencia. Uno de mis dos amigos de toda la vida muri6 mientras escribia este libro. A Gloria Frawley, quien a lo largo de la vida ha sido amiga, amante, bermano, bermana, padre, hijo, marido, esposa. Hasta que volvamos a caminar juntos, &racias por el amor mas puro, mas verdadero y mas desinteresado que be conocido, y por ser la mejor compariera que yo nunca pudiera baber esperado.Agradecimientos Nunca he comprendido por qué la gente escribe las secciones de agradecimien- tos. 2Quién se molesta en leerlas? Bien, ahora comprendo mejor el porqué. Asi, quiero agradecer a Bill Sommerfeld por ofrecerme el primer tutorial cuando se dio cuenta de lo negado que era; a Gary Zaidenweber por recalcarme la necesidad de la seguridad y por ayudarme, en un primer momento, a configurar mi sistema; a mis otros amigos de Hewlett-Packard, que me dieron animos para ir detris de mi pa- sin, especialmente a Mary MacGregor y a mi administradora Cindy Buhner, quienes son mucho mas agradecidas de lo que pueden imaginarse; a Paul Fox por enviarme una copia de su propio firewall cuando estaba empezando esta andadura; a Craig Ho- llabaugh por su generosidad a la hora de dedicar semanas a la revision editorial de las FAQ en las que se basa este libro; a Karl Runge por ofrecer semanas de revisiGn a las reglas de firewall; a numerosos clientes del grupo de noticias NorthEast Mediaone; a mi madre, quien confié en mi para que encontrase mi propio camino cuando pasaba apuros con los problemas propios después de terminar la carrera durante un afio; a Regina Weyer por estar siempre alli, a millas de distancia y durante todos los afios; a Jonathan Kaplan por ser una fuente de esperanza y apoyo; a Old Person por ser un ‘amigo constante y una fuente de 4nimo durante los tiltimos afios; a Alan Small por re- hacer amablemente las partes mas dificiles del texto de este libro, y, por tiltimo, pero fo menos importante, a Kitty Jarrett, mi editora, quien de alguna forma sobrevivio a toda mi inexperiencia. Kitty habla de forma suave y sin malicia. Simplemente observa y pregunta, a menudo con humor,