  Cortafuegos COMO
  David Rudder, drig@execpc.com
  Traducido por Carlos Garca Arques cgarcia@isabel.dit.upm.es
  Traduccin v0.2, 13 de Agosto de 1996

  El objetivo de este documento es ensear las bases de la instalacin
  de un cortafuegos mediante un PC y Linux. Tambin trata la instalacin
  y el uso de Servidores Proxy, dispositivos estos con los que se con
  sigue un mayor nivel de acceso a la Internet desde detrs de un corta
  fuegos. Titulo original: "Firewalling and Proxy Server HOWTO" Ttulo
  alternativo propuesto por el autor: "The ride of the lonely local area
  network", es decir "La balada de la red local solitaria".
  ______________________________________________________________________

  ndice General:

  1.      Introduccin

  1.1.    Realimentacin

  1.2.    Renuncia de Responsabilidad

  1.3.    Propiedad Intelectual

  1.4.    Las Razones para Escribir Esto

  1.5.    Por Hacer

  1.6.    Lecturas de Inters

  2.      Cortafuegos: Conceptos Bsicos

  2.1.    Inconvenientes de los Cortafuegos

  2.2.    Servidores Proxy

  3.      Configuracin

  3.1.    Requerimientos de Hardware

  3.2.    Configurando el Software

  3.3.    Las Direcciones de Red

  3.4.    Pruebas

  3.5.    Seguridad para el Cortafuegos

  4.      Software para Cortafuegos

  4.1.    Paquetes disponibles

  4.2.    El juego de herramientas para cortafuegos de TIS

  4.3.    El Limitador de TCP (TCP Wrapper)

  5.      Instalacin del Servidor Proxy

  5.1.    Configuracin del Servidor Proxy

  5.2.    El Fichero de Control de Acceso

  5.3.    El Fichero de rutado

  5.4.    El Servicio de Nombres tras el Cortafuegos

  5.5.    Trabajar con un Servidor Proxy

  5.5.1.  Unix Para que las aplicaciones funcionen con el servidor
  proxy, hay que "sockificarlas". Ser necesario tener dos telnets
  distintos, uno para la comunicacin directa, y uno para la
  comunicacin a travs del servidor proxy. Socks viene con
  instrucciones de cmo sockificar un programa, as como con un par de
  programas ya sockificados. Si se usa la verson sockificada para
  conectar con algn sitio al que se tiene acceso directo, socks
  cambiar automticamente a la versin para acceso directo (la normal).
  Por esta razn deberemos cambiar el nombre a todos los programas de la
  red protegida y sustituirlos por los sockificados. As "finger" pasar
  a ser "finger.orig", "telnet" a "telnet.orig", etc... . Se debe dar a
  conocer a socks todo esto en el fichero include/socks.h . Algunos
  programas gestionan el rutado y el sockificado ellos mismos. ste es
  el caso de Netscape . Se puede usar un servidor proxy con  Netscape
  simplemente poniendo la direccin del servidor (192.168.2.1 en nuestro
  caso) en el campo SOCKs  del menu Proxys .  Todas las aplicaciones
  necesitarn algn retoque independientemente de cmo manejen la
  existencia de servidores proxy.

  5.5.2.  MS Gindous con el Trumpet Winsock

  5.6.    Cmo conseguir que el Servidor Proxy funcione con UDP

  5.7.    Inconvenientes de los Servidores Proxy

  6.      Configuracin Avanzada

  6.1.    Una gran red con nfasis en la seguridad

  6.1.1.  Configuracin de la Red

  6.1.2.  El Servidor Proxy

  7.      Anexo: El INSFLUG
  ______________________________________________________________________

  1.  Introduccin

  Los cortafuegos han adquirido gran popularidad de un tiempo a esta
  parte como el ltimo grito en seguridad en la Internet. Como la
  mayora de las cosas que la adquieren, con la popularidad han llegado
  los malentendidos.  En este Howto se cubrirn las bases de lo que es
  un cortafuegos, cmo configurar uno, qu servidores proxy hay, cmo
  configurarlos, y las aplicaciones de esta tecnologa fuera del campo
  de la seguridad.

  1.1.  Realimentacin

  Todo apoyo o crtica a este documento ser bienvenido. Estoy buscando
  con especial inters crticas de la gente que usa Macintoshes, ya que
  la informacin que tengo de ellos es escasa. POR FAVOR, COMUNICADME
  CUALQUIER INEXACTITUD EN ESTE DOCUMENTO!!! Soy humano, y puedo cometer
  errores. Si encontris alguno, me interesar mucho conocerlo.
  Intentar contestar a todo el correo, pero estoy ocupado; as que, que
  nadie se ofenda si no lo hago.

  Mi direccin de correo electrnico es drig@execpc.com

  1.2.  Renuncia de Responsabilidad

  Este documento intenta ser una introduccin al funcionamiento de los
  cortafuegos y servidores proxy. No soy, ni pretendo ser, un experto en
  seguridad. Soy simplemente un tipo que ha ledo mucho y al que le
  gustan los ordenadores ms que al resto de la gente. NO SOY
  RESPONSABLE DE NINGN DAO PRODUCIDO POR ACCIONES CON BASE EN ESTE
  DOCUMENTO. Por favor, escribo esto para ayudar a la gente a entender
  el tema, no estoy preparado para hacer depender mi vida de la
  exactitud de lo que hay aqu.

  (-- Nota del Traductor: y yo menos.
  (es decir, suscribo el prrafo anterior, excepto donde dice escribir,
  que debe leerse traducir. Y donde dice experto en seguridad lase
  traductor experto).--)

  1.3.  Propiedad Intelectual

  A no ser que se indique de otra manera, los Howtos de LiNUX son
  propiedad intelectual de sus respectivos autores. Los Howtos de LiNUX
  pueden ser reproducidos y distribuidos en todo o en parte, por
  cualquier medio fsico o electrnico, siempre que este anuncio de
  copyright se mantenga en todas las copias. La redistribucin comercial
  est permitida y se anima a ella.  No obstante, al autor le gustara
  ser informado de cualquiera de tales distribuciones.

  Todas las traducciones, trabajos derivados, o trabajos de recopilacin
  que incorporen cualquier Howto de LiNUX, deben estar cubiertos por
  este copyright. Esto es, no se puede producir ningn trabajo derivado
  de un Howto e imponer restricciones adicionales a su distribucin.
  Pueden ser autorizadas excepciones a estas reglas bajo ciertas
  condiciones. Por favor, contacte con el coordinador de los Howtos de
  LiNUX en la direccin que se da ms abajo.

  Resumiendo, queremos promover la diseminacin de esta informacin a
  travs de todos los cauces posibles. No obstante, deseamos mantener la
  propiedad intelectual de los Howtos, y nos gustara ser advertidos de
  cualquier proyecto de redistribucin de los Howtos.

  Para cualquier pregunta, por favor, contacte con David Rudder
  drig@execpc.com

  1.4.  Las Razones para Escribir Esto

  Hubo muchos artculos en comp.os.linux.* a lo largo de, ms o menos,
  el ao pasado pidiendo ayuda sobre cortafuegos. Pareca como si nadie
  fuera a contestarlos. Supuse que la razn era que nadie saba cmo.
  As que dediqu cierto tiempo a jugar con cortafuegos y a aprender.
  Este documento existe como respuesta a aquellas peticiones.

  1.5.  Por Hacer

    Aprender cmo hacer esto en un Macintosh

    Aprender sobre diferentes paquetes de TCP/IP para Gindous

    Encontrar un buen servidor proxy de UDP que funcione con LiNUX

  1.6.  Lecturas de Inters

    La documentacin del juego de herramientas de TIS

    El Howto del NET-2

    PPP-Como

    El Howto de la Ethernet

    El MINIHowto de las Mltiples Ethernets

    Networking with LiNUX

    La gua del administrador de red TCP/IP de O'Reilly and Associates

  Las herramientas para cortafuegos de TIS traen una coleccin de
  documentos que se encuentran entre los mejores que he ledo sobre
  cortafuegos y asuntos relacionados. En la seccin ``'' se habla ms de
  las herramientas de TIS.

  2.  Cortafuegos: Conceptos Bsicos

  Cortafuegos es el trmino que se emplea para referirse a una franja de
  bosque que se limpia de rboles, vegetacin, y cualquier materia
  inflamable, con el fin de crear una barrera que el fuego de un posible
  incendio no sea capaz de atravesar.

  Un cortafuegos en el mundillo de las redes de ordenadores es un
  dispositivo lgico que protege una red privada del resto de la red
  (pblica). Funcionan as:

  1. Se toma un ordenador con capacidad de rutar (por ejemplo un PC con
     LiNUX)

  2. Se le ponen dos interfaces (por ejemplo interfaces serie, o
     ethernet, o de paso de testigo en anillo (Token Ring), etc...)

  3. Se le deshabilita el reenvo de paquetes IP (IP forwarding)

  4. Se conecta una interfaz a la Internet

  5. Se conecta la otra interfaz a la red que se quiere proteger

  Ahora hay dos redes distintas que comparten un ordenador. El ordenador
  cortafuegos, al que de ahora en adelante llamaremos "cortafuegos",
  puede comunicarse tanto con la red protegida como con la Internet. La
  red protegida no puede comunicarse con la Internet, y la Internet no
  puede comunicarse con la red protegida, dado que hemos deshabilitado
  el reenvo IP en el nico ordenador que las conecta.

  Si se quiere llegar a la Internet desde la red protegida, hay que
  hacer primero un telnet al cortafuegos, y acceder a la Internet desde
  l.  Del mismo modo, para acceder a la red protegida desde la
  Internet, se debe antes pasar por el cortafuegos.

  Este es un mecanismo de seguridad excelente contra ataques desde la
  Internet. Si alguien quiere atacar la red protegida, primero tiene que
  atravesar el cortafuegos. De esta manera el ataque se divide en dos
  pasos, y, por lo tanto, se dificulta. Si alguien quiere atacar la red
  protegida por mtodos ms comunes, como el bombardeo de emails, o el
  nefasto "Gusano de Internet", simplemente no podr alcanzarla. Con
  esto se consigue una proteccin excelente.

  2.1.  Inconvenientes de los Cortafuegos

  El mayor problema de los cortafuegos es que restringen mucho el acceso
  a la Internet desde la red protegida. Bsicamente, reducen el uso de
  la Internet al que se podra hacer desde un terminal. Tener que entrar
  en el cortafuegos y desde all realizar todo el acceso a Internet es
  una restriccin muy seria. Programas como Netscape (pronnciese
  Nescaf), que requieren una conexin directa con la Internet, no
  funcionan desde detrs de un cortafuegos. La solucin a todos estos
  problemas es un Servidor Proxy.

  2.2.  Servidores Proxy

  Los servidores proxy son un invento que permite el acceso directo a la
  Internet desde detrs de un cortafuegos. Funcionan abriendo un socket
  en el servidor y permitiendo la comunicacin con la Internet a travs
  de l.  Por ejemplo: si mi ordenador, drig, estuviera dentro de la red
  protegida y quisiera ver el Web con Netscape, pondra un servidor
  proxy en el cortafuegos. El servidor proxy estara configurado para
  hacer que las peticiones de conexin de mi ordenador al puerto 80 de
  otra mquina, se conectara a su puerto 1080, y l mismo establecera
  una conexin con el puerto 80 de la mquina deseada. A partir de
  entonces reenviara todos los datos de esa conexin a la otra mquina.

  Quien haya usado TIA o TERM se ha encontrado este concepto antes. Con
  estos dos programas se puede redirigir un puerto. Un amigo tena TIA
  configurado para hacer que quien se conectara a la 192.251.139.21
  puerto 4024 lo hiciera a su servidor de Web. El servidor proxy
  funciona as pero al revs. Para conectarnos al puerto 80 de
  cualquiera, debemos usar el puerto 1080 (o cualquier otro que hayamos
  dispuesto) del servidor proxy.

  Lo importante de los servidores proxy es que, bien configurados, son
  completamente seguros. No dejan que nadie entre a travs de ellos.

  3.  Configuracin

  3.1.  Requerimientos de Hardware

  Para nuestro ejemplo, el ordenador es un 486-DX66 con 8 Megas de RAM,
  una particin para Linux de 500 Megas, y una conexin PPP a un
  proveedor de Internet a travs de un mdem de 14.400 bps . Ese es
  nuestro linux bsico.  Para convertirlo en un cortafuegos le aadimos
  una tarjeta Ethernet NE2000. Con ella queda conectado a tres PC'es con
  Gindous 3.1 y Trumpet Winsock, y a dos Sun'es con SunOs. La razn de
  elegir este escenario es que son las dos plataformas con las que estoy
  familiarizado. Imagino que gran parte de lo que cuento aqu es
  factible con Mac'es pero, dado que no uso Mac'es con suficiente
  asiduidad, lo cierto es que no lo s.

  3.2.  Configurando el Software

  As, que ahora tenemos un LiNUX conectado a Internet por una linea PPP
  de 14.400 . Adems tenemos una red Ethernet que conecta el LiNUX y el
  resto de los ordenadores. Lo primero, debemos recompilar el ncleo con
  las opciones apropiadas. En este momento yo echara un vistazo al
  Kernel-Como, al Ethernet-HOWTO, y al NET-3-HOWTO.  Luego tecleara
  "make config":

  Las opciones requeridas son:

  1. Habilitar el Soporte de Red

  2. Habilitar la opcin de red TCP/IP (TCP/IP Networking)

  3. Deshabilitar el reenvio de paquetes IP (CONFIG_IP_FORWARD)

  4. Habilitar la opcin de Cortafuegos IP (IP Firewalling)

  5. Probablemente, habilitar las cuentas IP (IP Accounting). Parece
     razonable, dado que estamos configurando un dispositivo de
     seguridad

  6. Habilitar el Soporte de Dispositivos de Red (Networking Device
     Support)

  7. Habilitar el soporte de PPP y Ethernet, aunque esto depende del
     tipo de interfaces que se tenga en cada caso

  Ahora, recompilamos y reinstalamos el ncleo y rearrancamos la
  mquina.  Las interfaces deberan ser reconocidas en la secuencia de
  arranque para que todo estuviera bien. Si no, habra que repasar los
  Howtos antes mencionados y volverlo a intentar hasta que funcionase.

  3.3.  Las Direcciones de Red

  Esta es la parte interesante. Dado que no queremos que la Internet
  tenga acceso a nuestras mquinas, no necesitamos usar direcciones
  reales. Una buena eleccin es el rango de direcciones de clase C
  192.168.2.xxx, que est designado como rango para pruebas. Es decir,
  nadie lo usa, y no entrar en conflicto con ninguna peticin al
  exterior. De modo que, en esta configuracin, slo se necesita una
  direccin IP real. Las otras se pueden elegir libremente y de ninguna
  manera afectarn a la red.

  Asignamos la direccin IP real al puerto serie del cortafuegos que
  usamos para la conexin PPP. Asignamos 192.168.2.1 a la tarjeta
  Ethernet del cortafuegos. Asignamos a las otras mquinas de la red
  protegida cualquier direccin del rango anterior.

  3.4.  Pruebas

  Lo primero es hacer ping a la internet desde el cortafuegos. Yo antes
  usaba nic.ddn.mil como punto de prueba. No deja de ser una buen sitio,
  pero ha demostrado ser menos fiable de lo que esperaba. Si no funciona
  a la primera, probaremos a hacer pings a otro par de sitios que no
  estn conectados a nuestra red local. Si no funciona es que el PPP
  est mal configurado. Tendramos que volver a leer el Net-3-HOWTO y a
  probar.

  Ahora probaremos a hacer pings entre las mquinas de la red protegida.
  Todas deben ser capaces de hacer ping a las dems. Si no fuera as,
  habra que leer de nuevo el Net-3-HOWTO y trabajar en la red un poco
  ms.

  Ahora, todas las mquinas de la red protegida deben ser capaces de
  hacer pings al cortafuegos. Si no, vuelta atrs. Recuerda: deberan
  ser capaces de hacer ping a la 192.168.2.1, no a la direccin PPP.

  Entonces probaremos a hacer ping a la direccin PPP del cortafuegos
  desde dentro de la red protegida. No debe funcionar. Si funciona es
  que no hemos deshabilitado el Reenvio del Paquetes IP y habr que
  recompilar el ncleo. Al haber asignado a la red protegida la
  direccin 192.168.2.0 ningn paquete ser encaminado a ella por la
  Internet, pero, en cualquier caso, es ms seguro tener el reenvo de
  paquetes IP deshabilitado. Esto deja el control en nuestras manos, no
  en las manos de nuestro proveedor de PPP.

  Finalmente, haremos ping a todas las mquinas de la red protegida
  desde el cortafuegos. Llegados a este punto, no debera haber
  problemas.

  Ya tenemos una disposicin de cortafuegos bsica.

  3.5.  Seguridad para el Cortafuegos

  El cortafuegos no sirve si lo dejamos vulnerable a los ataques.
  Primero echaremos un vistazo al /etc/inetd.conf. Este es el fichero de
  configuracin del as llamado "superservidor" (inetd), que arranca un
  buen nmero de demonios servidores cuando les llega una peticin.

  Entre ellos:

    Telnet

    Talk

    FTP

    Daytime

  Se debe desactivar todo lo que no se necesite. No dudaremos en
  desactivar netstat, systat, tftp, bootp, y finger. Seguramente
  querremos desactivar telnet, y dejar slo rlogin, o viceversa.

  Para desactivar un servicio basta con poner un # al comienzo de la
  linea que se refiera a l.  Despus hay que mandar una seal SIG-HUP
  al proceso inetd tecleando "kill -HUP <pid>", donde <pid> es el nmero
  de proceso de inetd. Esto har que inetd relea su fichero de
  configuracin (inetd.conf) y se reinicie. Lo comprobaremos haciendo un
  telnet al puerto 15 del cortafuegos, el puerto de netstat. Si aparece
  la respuesta de netstatd, no hemos reiniciado inetd correctamente.

  4.  Software para Cortafuegos

  4.1.  Paquetes disponibles

  Un cortafuegos en sentido estricto no necesita ningn software aparte
  del ncleo de LiNUX y los programas bsicos de red (inetd, telnetd y
  telnet, ftpd y ftp). Pero un cortafuegos as es extremadamente
  restrictivo y no muy til.

  As que la gente ha hecho programas para aumentar la utilidad de los
  cortafuegos. El que examinaremos con mayor detalle es un paquete
  llamado "socks", que implementa un servidor proxy. Sin embargo, existe
  otro par de programas que hay que tomar en consideracin. Ahora les
  daremos un rpido repaso.

  4.2.  El juego de herramientas para cortafuegos de TIS

  TIS ha sacado una coleccin de programas para facilitar la realizacin
  de cortafuegos. Bsicamente, los programas hacen lo mismo que el
  paquete Socks, pero tiene una estrategia de diseo diferente.
  Mientras que Socks tiene un nico programa que cubre todas las
  operaciones de la Internet, TIS provee un programa para cada utilidad
  que quiera usar el cortafuegos.

  Para compararlos mejor, veamos el ejemplo del acceso al Web y por
  Telnet.  Con Socks, hay que hacer un fichero de configuracin y poner
  en marcha un demonio. Mediante ese fichero y ese demonio se activan
  tanto el Telnet como el Web, as como cualquier otro servicio que no
  se haya desactivado explcitamente.

  Con las herramientas TIS, se arranca un demonio para el Web y otro
  para el Telnet, y se escribe un fichero de configuracin para cada
  uno. Despus de haber hecho eso, el resto de formas de acceso a
  Internet siguen prohibidas hasta que se configuren explcitamente. Si
  no existe un demonio especial para una determinada utilidad (por
  ejemplo, para talk), hay un demonio "para todo" pero no es ni tan
  flexible, ni tan fcil de configurar como las otras herramientas.

  Esto puede parecer una diferencia menor, pero en realidad es una gran
  diferencia. Socks permite ser desidioso. Con un servidor de Socks mal
  configurado la gente de dentro tiene ms acceso a la Internet del que
  se quera. Con las herramientas TIS, la gente del interior tiene
  solamente el acceso que el administrador del sistema quiera que
  tengan.

  Socks es ms fcil de configurar, ms fcil de compilar, y permite una
  mayor flexibilidad. El juego de herramientas de TIS es mas seguro si
  se quiere controlar a los usuarios de dentro.  Los dos proporcionan
  una proteccin absoluta del exterior.

  4.3.  El Limitador de TCP (TCP Wrapper)

  El limitador de TCP no es una utilidad de cortafuegos, pero sirve para
  algo parecido. Usando el limitador de TCP podemos controlar quin
  tiene acceso a nuestra mquina y a qu servicios, as como registrar
  las conexiones. Tambin ofrece deteccin bsica de impostores.

  El limitador de TCP no se cubre de manera ms extensa aqu por un par
  de razones:

    No es un verdadero cortafuegos.

    Para utilizarlo se tiene que estar directamente conectado a la
     Internet, es decir, se tiene que tener una direccin IP.

    Slo controla la mquina en la que est instalado, y por lo tanto
     no sirve para una red. Los cortafuegos pueden proteger todas las
     mquinas cualquiera que sea su arquitectura. El limitador de TCP no
     funciona en Macintoshes ni en MS Gindouses.

  5.  Instalacin del Servidor Proxy

  El servidor proxy requiere software adicional. ste se puede conseguir
  en:

  ftp://sunsite.unc.edu/pub/LiNUX/system/Network/misc/socks-Linux-
  src.tgz

  Solamente hay un ejemplo de fichero de configuracin en ese
  directorio, se llama "socks-conf". Debemos descomprimir y
  desempaquetar los ficheros en un directorio de nuestro ordenador, y
  seguir las instrucciones de cmo compilarlo. Yo tuve un par de
  problemas compilndolo. Hay que asegurarse de que los Makefiles son
  correctos. Algunos lo son y algunos no.

  Algo importante que hay que advertir es que hay que aadir el servidor
  proxy al /etc/inetd.conf. Se debe aadir la linea:

       socks   stream  tcp     nowait  nobody  /usr/local/etc/sockd    sockd

  para decir a inetd que arranque el servidor cuando se le pida.

  5.1.  Configuracin del Servidor Proxy

  El programa socks necesita dos ficheros de configuracin distintos.
  Uno en el que se le dice qu accesos estn permitidos, y otro para
  dirigir las peticiones al servidor proxy apropiado. El fichero de
  control de acceso debe residir en el servidor. El fichero de rutado
  debe residir en todas las mquinas n*x. Las mquinas DOS y,
  presumiblemente, las Macintosh encaminarn por s mismas.

  5.2.  El Fichero de Control de Acceso

  Con socks4.2 Beta, el fichero de acceso se llama "sockd.conf".
  Debera contener dos tipos de lneas: las de permiso, que contienen
  "permit" y las de prohibicin, que contienen "deny". Cada linea tendr
  tres palabras:

    El identificador (permit/deny)

    La direccin IP

    El modificador de direccin

  El identificador es o permit (permitir) o deny (denegar). Debera
  haber uno de cada.

  La direccin IP se compone de cuatro octetos segn la tpica notacin
  de puntos: p.ej. 192.168.2.0 .

  El modificador de direccin es tambin un nmero de cuatro octetos.
  Funciona como una mscara de red. Hay que verlo como 32 bits (unos o
  ceros). Si el bit es uno, el bit correspondiente de la direccin que
  se comprueba debe coincidir con el bit correspondiente del campo de
  direccin IP.
  Por ejemplo, si la lnea es:

       permit 192.168.2.23 255.255.255.255

  entonces, admitir slo direcciones IP en las que coincidan todos los
  bits de 193.168.2.23, esto es, slo ella misma. La lnea:

       permit 192.168.2.0 255.255.255.0

  admitir todas las direcciones desde la 192.168.2.0 hasta la
  192.168.2.255, la subred de clase C completa. No se debera tener la
  lnea:

       permit 192.168.2.0 0.0.0.0

  dado que permitira cualquier direccin.

  As que, primero, permitimos todas las direcciones que queramos
  permitir, y despus prohibimos el resto. Para permitir a cualquiera
  del rango 192.168.2.xxx, las lneas:

       permit 192.168.2.0 255.255.255.0
       deny 0.0.0.0 0.0.0.0

  funcionarn perfectamente. Observa los primeros "0.0.0.0" en la linea
  de prohibicin. Con un modificador de 0.0.0.0, el campo de la
  direccin IP no importa. Se suele poner todo ceros porque es fcil de
  teclear.

  Se puede poner ms de una lnea de cada clase.

  Tambin se puede autorizar o denegar el acceso a determinados
  usuarios.  Se consigue gracias a la autentificacin del protocolo
  ident. No todos los sistemas soportan ident (incluyendo al Trumpet
  Winsock) de modo que no profundizar en ello. La documentacin que
  viene con socks trata este tema adecuadamente.

  5.3.  El Fichero de rutado

  El fichero de rutado de socks tiene el desafortunado nombre de
  "socks.conf". Y digo que es desafortunado porque se parece tanto al
  del fichero de control de acceso que es fcil confundirlos.

  El fichero de rutado tiene la funcin de decir a los clientes de socks
  cundo usar socks y cundo no. Por ejemplo, en nuestra red la mquina
  192.168.2.3 no necesita usar socks para comunicarse con la 192.168.2.1
  (el cortafuegos), ya que tiene una conexin directa va Ethernet. La
  127.0.0.1, direccin de "vuelta atrs" (que representa a una mquina
  ante ella misma), est definida automticamente. Est claro que no se
  necesita usar socks para hablar con uno mismo.

  Hay tres tipos de entradas:

    deny

    direct

    sockd

  Deny (denegar) le dice a socks que peticiones debe rechazar. Esta
  entrada tiene los mismos tres campos que en sockd.conf, identificador,
  direccin, y modificador. Generalmente, dado que esto tambin es
  manejado por el fichero de control de acceso sockd.conf, el
  modificador se pone a 0.0.0.0 . Si uno quiere impedirse a si mismo
  conectar con un determinado sitio, se puede hacer ponindolo aqu.

  La entrada direct dice para qu direcciones no se debe usar socks.
  stas son todas las direcciones a las que se puede llegar sin usar el
  servidor proxy. De nuevo hay tres campos: identificador, direccin, y
  modificador. Nuestro ejemplo tendra:

  direct 192.168.2.0 255.255.255.0

  Con lo que ira directamente a cualquier mquina de la red protegida.

  La entrada sockd dice cul es la mquina en la que corre el servidor
  de socks. La sintaxis es:

       sockd @=<lista de servidores> <direccion IP> <modificador>

  Observemos la entrada @=. sta permite poner las direcciones IP de una
  lista de servidores proxy. En nuestro ejemplo slo usamos un servidor
  proxy, pero se puede tener muchos para admitir una carga mayor y
  conseguir redundancia frente a fallos.

  La direccin IP y el modificador funcionan como en los otros ejemplos.
  Especifican a qu direcciones se va a travs de los servidores.

  5.4.  El Servicio de Nombres tras el Cortafuegos

  Instalar un Servicio de Nombres detrs de un cortafuegos es
  relativamente simple. No hay ms que instalar el servidor de DNS en la
  mquina que hace de cortafuegos. Luego se hace que todas las mquinas
  tras el cortafuegos usen este servidor de DNS.

  5.5.  Trabajar con un Servidor Proxy

  5.5.1.  Para que las aplicaciones funcionen con el servidor proxy, hay
  que "sockificarlas". Ser necesario tener dos telnets distintos, uno
  para la comunicacin directa, y uno para la comunicacin a travs del
  servidor proxy. Socks viene con instrucciones de cmo sockificar un
  programa, as como con un par de programas ya sockificados. Si se usa
  la verson sockificada para conectar con algn sitio al que se tiene
  acceso directo, socks cambiar automticamente a la versin para
  acceso directo (la normal). Por esta razn deberemos cambiar el nombre
  a todos los programas de la red protegida y sustituirlos por los sock
  ificados. As "finger" pasar a ser "finger.orig", "telnet" a "tel
  net.orig", etc... . Se debe dar a conocer a socks todo esto en el
  fichero include/socks.h . Algunos programas gestionan el rutado y el
  sockificado ellos mismos. ste es el caso de Netscape . Se puede usar
  un servidor proxy con Netscape  simplemente poniendo la direccin del
  servidor (192.168.2.1 en nuestro caso) en el campo SOCKs  del menu
  Proxys .  Todas las aplicaciones necesitarn algn retoque independi
  entemente de cmo manejen la existencia de servidores proxy.  Unix

  5.5.2.  MS Gindous con el Trumpet Winsock

  El Trumpet Winsock lleva incorporada la gestin de servidores proxy.
  En el men "setup" se debe poner la direccin IP del servidor y las
  direcciones de todos los ordenadores a los que se llega directamente.
  l se encargar a partir de entonces de todos los paquetes de salida.

  5.6.  Cmo conseguir que el Servidor Proxy funcione con UDP

  El paquete socks slo funciona con TCP, no con UDP. Esto le quita un
  poco de utilidad. Muchos programas interesantes, (como talk o archie)
  usan UDP. Existe un paquete diseado para funcionar como un servidor
  proxy para paquetes de UDP que se llama UDPrelay. El autor es Tom
  Fitzgerald fitz@wang.com.  Desgraciadamente, en el momento de escribir
  estas lneas, no es compatible con LiNUX.

  5.7.  Inconvenientes de los Servidores Proxy

  Un servidor proxy es ante todo un dispositivo de seguridad.  Usarlo
  para aumentar el nmero de mquinas con acceso a la Internet cuando se
  tienen pocas direcciones IP tiene muchos inconvenientes. Un servidor
  proxy permite un mayor acceso desde dentro de la red protegida al
  exterior, pero mantiene el interior completamente inaccesible desde el
  exterior. Esto significa que no habr conexiones archie, ni talk, ni
  envo directo de correo a los ordenadores de dentro. Estos
  inconvenientes pueden parecer pequeos, pero consideremos los
  siguientes casos:

    Te has dejado un informe que ests haciendo en tu ordenador que
     est dentro de la red protegida por el cortafuegos. Ests en casa y
     decides cambiar algo. No puedes. No puedes llegar a tu ordenador
     dado que est tras el cortafuegos. Intentas entrar en el
     cortafuegos primero, pero como todo el mundo tiene acceso al
     exterior gracias al servidor proxy, no te han abierto cuenta en l.

    Tu hija va a la universidad. Quieres enviarle correo. Tienes
     algunas cosas privadas que comentar con ella, por lo que
     preferiras que el correo llegara directamente a tu mquina.
     Confas plenamente en el administrador de tu sistema, pero, an
     as, es correo privado.

    La incapacidad de manejar paquetes UDP es un gran inconveniente de
     los servidores proxy. Imagino que no por mucho tiempo.

  El FTP crea otro problema con los servidores proxy. Cuando se hace un
  ls, o un get, el servidor de FTP establece una conexin con la mquina
  cliente y manda la informacin por ella. Un servidor proxy no lo
  permitir, as que el FTP no funciona especialmente bien.

  Adems, un servidor proxy es lento. Debido a la gran sobrecarga, casi
  cualquier otro medio de lograr acceso ser ms rpido.

  Resumiendo, si tienes suficientes direcciones IP y no te preocupa la
  seguridad, no uses cortafuegos ni servidores proxy. Si no tienes
  suficientes direcciones IP, pero tampoco te preocupa la seguridad,
  seguramente deberas considerar los "emuladores de IP" como Term,
  Slirp, o TIA.

  Term se puede conseguir en ftp://sunsite.unc.edu, Slirp en
  ftp://blitzen.canberra.edu.au/pub/slirp, y TIA en
  ftp://marketplace.com.

  Van ms rpido, permiten mejores conexiones, y proveen un mayor nivel
  de acceso a la red interior desde la Internet. Los servidores proxy
  estn bien para las redes que tienen muchos ordenadores que quieren
  conectar con la Internet al vuelo, y en las que se quiere poco trabajo
  de mantenimiento tras la instalacin.

  6.  Configuracin Avanzada

  Hay una configuracin que me gustara mostrar antes de dar por
  terminado este documento. La que acabo de comentar bastar seguramente
  para la mayora de la gente. Sin embargo, pienso que el prximo
  ejemplo mostrar una ms avanzada que puede resolver algunas dudas.
  Si tienes preguntas que trascienden lo cubierto hasta aqu, o
  simplemente ests interesado/a en la versatilidad de los servidores
  proxy y los cortafuegos, sigue leyendo.

  6.1.  Una gran red con nfasis en la seguridad

  Digamos, por ejemplo, que eres el lder de la Vigsimo Tercera
  Hermandad de la Discordia de Milwaukee. Te gustara poner una red.
  Tienes 50 ordenadores y una subred de 32 (5 bites) direcciones IP
  (reales). Hay varios niveles de acceso. Se dicen cosas distintas a los
  discpulos segn el nivel en que estn. Obviamente, querrs proteger
  ciertas partes de la red de los discpulos que no estn en ese nivel.

  Renuncia de Responsabilidad: No soy miembro de la Hermandad de la
  Discordia. No conozco su terminologa, ni me importa. Solo los estoy
  usando como ejemplo.  Por favor, mandad todos los frutos de vuestros
  arrebatos de ira a

  Los niveles son:

  1. El nivel externo. ste es el nivel que se ensea a cualquiera.
     Bsicamente es un rollo patatero sobre Eris, Diosa de la Discordia,
     y un montn de chorradas ms.

  2. Iniciado. Este es el nivel para la gente que ha pasado del nivel
     externo. Aqu es donde se les dice que la discordia y la estructura
     son realmente una, y que Eris es tambin Jehov.

  3. Adepto. Aqu es donde se encuentra el verdadero plan. En este nivel
     se guarda toda la informacin de cmo la Sociedad de la Discordia
     va a dominar el mundo gracias a un diablico, aunque jocoso, plan
     que implica a Newt Gingrich, los Cereales Wheaties, O.J. Simpson, y
     quinientos cristales de cuarzo errneamente etiquetados como de 6,5
     MHz.

  6.1.1.  Configuracin de la Red

  Las direcciones IP se disponen as:

    Una direccin es 192.168.2.255, que es la de difusin y por lo
     tanto no utilizable.

    23 de las 32 direcciones IP se asignan a las 23 mquinas accesibles
     desde la Internet.

    Una direccin IP extra es para una mquina LiNUX en esa red.

    Una direccin IP extra es para otra mquina LiNUX en esa red.

    Dos direcciones IP son para el router que los conecta con la
     Internet.

    Cuatro se dejan sin usar, pero se les asignan los nombres paul,
     ringo, john, y george, slo para confundir las cosas un poco.

    Las dos redes protegidas tienen direcciones del tipo 192.168.2.xxx
     .

  Entonces se instalan dos redes, cada una en una habitacin separada.
  Se utilizan Ethernets de infrarrojos, de tal manera que son
  completamente invisibles desde la habitacin exterior. Por suerte, la
  Ethernet de infrarrojos funciona como la normal (o eso creo), de modo
  que podemos pensar en ellas como si fueran Ethernets normales.

  Cada una de esas redes se conecta a una de las mquinas LiNUX a las
  que se asignaron las direcciones IP extras.

  Hay un servidor de ficheros que conecta las dos redes protegidas. Esto
  se debe a que los planes para dominar el mundo implican a algunos de
  los iniciados de mayor nivel. El servidor de ficheros tiene la
  direccin 192.168.2.17 para la red de iniciados, y la 192.168.2.23
  para la de adeptos. Tiene que tener dos direcciones dado que tiene dos
  tarjetas Ethernet. Tiene deshabilitado el reenvio de paquetes IP.

  El reenvio de paquetes IP tambin est deshabilitado en los dos
  LiNUXes.  El router no encaminar paquetes con destino 192.168.2.xxx a
  menos que se le diga explcitamente, as que la Internet en ningn
  caso podra acceder al interior. La razn para deshabilitar el reenvio
  de paquetes IP aqu es para que los paquetes de la red de adeptos no
  lleguen a la de iniciados y viceversa.

  El servidor de NFS puede ser configurado para ofrecer diferentes
  ficheros a las diferentes redes. Esto puede venir al pelo, y unos
  pocos trucos con enlaces simblicos pueden hacer que se compartan los
  ficheros comunes entre todos. Con esta configuracin y otra tarjeta
  Ethernet, el mismo servidor de ficheros puede dar servicio a las tres
  redes.

  6.1.2.  El Servidor Proxy

  Dado que los tres niveles quieren rastrear la Internet para sus
  propios y diablicos propsitos, los tres necesitan tener acceso a
  ella. La red externa est conectada directamente a la Internet, luego
  no tenemos que hacer nada. Las redes de adeptos e iniciados estn
  detrs de sendos cortafuegos, luego es necesario instalar servidores
  proxy para ellas.

  Las dos redes se configurarn de forma muy parecida. Ambas tienen las
  mismas direcciones IP asignadas. Aadir un par de requisitos para
  hacerlo ms interesante:

  1. No se debe poder usar el servidor de ficheros para acceder a la
     Internet Esto le expone a virus y otras cosas desagradables, y es
     bastante importante.

  2. No permitiremos a los Iniciados acceso al World Wide Web. Estn
     formndose, y la adquisicin de ese tipo de informacin podra
     resultar daina.

  As, el fichero sockd.conf en el LiNUX de los iniciados tendr esta
  lnea:

       deny 192.168.2.17 255.255.255.255

  y en la mquina de los adeptos:

       deny 192.168.2.23 255.255.255.255

  Y, el LiNUX de los iniciados tendr esta lnea

       deny 0.0.0.0 0.0.0.0 eq 80

  Que dice que se deniegue a todas las mquinas el acceso al puerto
  igual (eq) a 80, el puerto del http. Esto an permitir el acceso a
  otros servicios, slo impedir el acceso al Web.

  Adems, ambos ficheros contendrn:

       permit 192.168.2.0 255.255.255.0

  para permitir a todos los ordenadores de la red 192.168.2.xxx usar
  este servidor proxy, excepto aquello que ya ha sido prohibido (esto
  es: cualquier acceso desde el servidor de ficheros y el acceso al Web
  desde la red de iniciados)

  El fichero sockd.conf de los iniciados ser ms o menos:

       deny 192.168.2.17 255.255.255.255
       deny 0.0.0.0 0.0.0.0 eq 80
       permit 192.168.2.0 255.255.255.0

  y el de los adeptos ser ms o menos:

       deny 192.168.2.23 255.255.255.255
       permit 192.168.2.0 255.255.255.0

  Con esto todo debera estar configurado correctamente. Cada red est
  aislada como corresponde, con el grado apropiado de interaccin. Todo
  el mundo debera estar contento. Ahora, cuidado con los cristales de
  6,5 MHz...

  7.  Anexo: El INSFLUG

  El INSFLUG forma parte del grupo internacional Linux Documentation
  Project, encargndose de las traducciones al castellano de los Howtos
  (Comos), as como la produccin de documentos originales en aquellos
  casos en los que no existe anlogo en ingls.

  En el INSFLUG se orienta preferentemente a la traduccin de documentos
  breves, como los COMOs y PUFs (Preguntas de Uso Frecuente, las FAQs.
  :) ), etc.

  Dirjase a la sede del INSFLUG para ms informacin al respecto.

  En la sede del INSFLUG encontrar siempre las ltimas versiones de las
  traducciones:  www.insflug.org. Asegrese de comprobar cul es la
  ltima versin disponible en el Insflug antes de bajar un documento de
  un servidor rplica.

  Se proporciona tambin una lista de los servidores rplica (mirror)
  del Insflug ms cercanos a Vd., e informacin relativa a otros
  recursos en castellano.

  Francisco Jos Montilla, pacopepe@insflug.org.

