La seguridad de la información es pensada a menudo como un proceso y no como un producto. Sin embargo, las implementaciones de seguridad estándar usualmente emplean alguna forma de mecanismo dedicado para controlar los privilegios de acceso y restringir los recursos de la red a los usuarios autorizados, identificables y localizables. Red Hat Enterprise Linux incluye muchas herramientas poderosas para asistir a los administradores y a los ingenieros de seguridad con los problemas de control de acceso al nivel de la red.
Aparte de las soluciones de VPN tales como CIPE o IPsec (discutidas en el Capítulo 6), los cortafuegos o firewalls son uno de los componentes principales de la implementación de seguridad. Muchos vendedores promocionan soluciones de cortafuegos dirigidas a todos los niveles del mercado: desde los usuarios del hogar protegiendo un PC hasta las soluciones de Centros de Datos resguardando información vital de la corporación. Los cortafuegos pueden ser soluciones de hardware independiente, tales como aparatos cortafuegos de Cisco, Nokia, y Sonicwall. También existen soluciones de cortafuegos de software propietario desarrolladas para los mercados del hogar y de negocios por vendedores tales como Checkpoint, McAfee, y Symantec.
Aparte de las diferencias entre cortafuegos de hardware y software, también existen diferencias en la forma en que los cortafuegos funcionan que los separan unos de los otros. La Tabla 7-1 detalla tres tipos comunes de cortafuegos y como funcionan:
Método | Descripción | Ventajas | Desventajas | ||||||
---|---|---|---|---|---|---|---|---|---|
NAT | La Traducción de direcciones de red, en inglés: Network Address Translation (NAT), coloca las subredes IP internas detrás de una o de un pequeño grupo de direcciones IP, enmascarando todas las peticiones a una fuente en vez de a muchas |
|
| ||||||
Filtrado de paquetes | Los cortafuegos de filtrado de paquetes leen cada paquete de datos que pasa dentro y fuera de una LAN. Puede leer y procesar paquetes de acuerdo a la información de la cabecera y filtra el paquete basado en un conjunto de reglas programables implementadas por el administrador del cortafuegos. El kernel de Linux tiene una funcionalidad de filtrado de paquetes embebida a través del subsistema del kernel netfilter. |
|
| ||||||
Proxy | Los cortafuegos proxy filtran todas las peticiones de cierto tipo o protocolo desde los clientes LAN a una máquina proxy, la cual luego hace esas peticiones a la Internet en nombre del cliente local. Una máquina proxy actúa como un buffer entre los usuarios remotos maliciosos y las máquinas clientes de la red interna. |
|
|
Tabla 7-1. Tipos de cortafuegos
El kernel de Linux presenta un subsistema de redes muy poderoso llamado netfilter. El subsistema netfilter proporciona un filtrado de paquetes con vigilancia continua o sin ella, así como también NAT y servicios de enmascaramiento IP. Netfilter también tiene la habilidad de mutilar la información IP de cabecera para un enrutamiento avanzado y gestión del estado de la conexión. Netfilter es controlado a través de la utilidad IPTables.
El poder y flexibilidad de netfilter es implementado a través de la interfaz de IPTables. Esta herramienta de línea de comandos es similar en sintaxis a su predecesor, IPChains; sin embargo, IPTables utiliza el subsistema netfilter para mejorar la conexión de la red, inspección y procesamiento; mientras que IPChains usa conjuntos de reglas intrincados para filtrar rutas de fuentes y destino, así como también puertos de conexión o ambos. IPTables presenta funcionalidades como: registro avanzado, acciones previas y posteriores al enrutamiento, traducción de direcciones de red y reenvío de puertos, todo en una interfaz de línea de comandos.
Esta sección proporciona una descripción general sobre IPTables. Para más detalles sobre IPTables, consulte el Manual de referencia de Red Hat Enterprise Linux.