Capítulo 13. Configuración básica de firewall
Un firewall o cortafuegos evita que los virus se esparzan por su ordenador y evita que los usuarios no autorizados accedan a su ordenador. El firewall está ubicado entre su ordenador y la red. Determina los servicios a los que pueden acceder los usuarios remotos en su red. Un firewall que haya sido configurado debidamente puede aumentar la seguridad de su sistema. Se le recomienda que configure un firewall para cualquier sistema con una conexión de Internet.
13.1. Herramienta de configuración de nivel de seguridad
Durante la instalación de Red Hat Linux en la pantalla de configuración del firewall, se le ha dado la posibilidad de escoger el nivel de seguridad alto, medio o ninguno así como también de permitir dispositivos específicos, servicios entrantes y puertos.
Después de la instalación, puede cambiar el nivel de seguridad de su sistema utilizando la Herramienta de configuración de nivel de seguridad. Si prefiere una aplicación basada en un asistente, consulte la Sección 13.2.
Para iniciar la aplicación, seleccione Botón de menú principal (en el panel) => Configuración del sistema => Seguridad o escriba el comando redhat-config-securitylevel desde un indicador de comandos de shell (por ejemplo, en una terminal XTerm o GNOME).
Seleccione el nivel de seguridad deseado desde el menú despegable.
- Alto
Si elige Alto, su sistema no aceptará conexiones (que no sean parámetros por defecto) que usted no haya definido específicamente. Por defecto, sólo las siguientes conexiones están permitidas:
respuestas de DNS
DHCP — de modo que cualquier interfaz de la red que use DHCP se puede configurar correctamente
Si elige Alto, su firewall no permitirá lo siguiente:
Modo activo FTP (modo pasivo FTP, usado por defecto en la mayoría de clientes sí debería funcionar)
transferencias de archivos IRC DCC
RealAudio™
Clientes remotos del sistema X Window
Si va a conectar su sistema a Internet, pero no desea ejecutar un servidor, ésta es la opción más segura. Si necesita servicios adicionales, puede elegir Personalizar para permitir servicios específicos a través del firewall.
Nota Si selecciona un firewall medio o alto, los métodos de autenticación de red (NIS y LDAP) no funcionarán.
- Medio
Si elige Medio, su firewall no permitirá que máquinas remotas tengan acceso a ciertos recursos de su sistema. Por defecto, el acceso a los siguientes recursos no está permitido:
Puertos por debajo del 1023 — los puertos reservados estándar, usados por la mayoría de servicios de sistema, tales como FTP, SSH, telnet, HTTP, y NIS.
El puerto de servidor NFS (2049) — NFS se deshabilita tanto para servidores remotos como para clientes locales.
El modo de pantalla local del sistema X Window para clientes X remotos.
El puerto de servidor X Font (por defecto, xfs no se escucha en la red; está deshabilitado en el servidor fuente).
Si quiere permitir recursos tales como RealAudio™ a la vez que bloquea el acceso a los servicios normales del sistema, elija Medio. Seleccione Personalizar para permitir servicios específicos a través del firewall.
Nota Si selecciona un firewall medio o alto, los métodos de autenticación de red (NIS y LDAP) no funcionarán.
- Ningún Firewall
Ningún firewall proporciona acceso completo a su sistema y no realiza comprobaciones de seguridad. La Comprobación de seguridad es la deshabilitación del acceso a ciertos servicios. Esto debería estar seleccionado únicamente si usted está conectado a una red de confianza (no Internet) o si desea hacer más configuraciones de firewall en otro momento.
Elija Personalizar para añadir dispositivos de confianza o para permitir servicios de entrada adicionales.
- Dispositivos fiables
Al seleccionar cualquiera de los Dispositivos fiables se permite el acceso a su sistema a todo el tráfico de ese dispositivo; queda excluido de las reglas del firewall. Por ejemplo, si está ejecutando una red local, pero está conectado a Internet por medio de un acceso remoto PPP, puede comprobar eth0 y el tráfico proveniente de su red local será permitido. Seleccionar eth0 como de confianza significa que todo el tráfico a través de Ethernet está permitido, pero la interfaz ppp0 sigue teniendo un firewall. Si desea restringir el tráfico en una interfaz, déjela sin marcar.
No es recomendable que haga cualquier dispositivo conectado a redes públicas, como Internet, un Dispositivo fiable.
- Permitir la entrada
Activar estas opciones permite que los servicios especificados pasen a través del firewall. Nota, durante la instalación de la estación de trabajo, la mayoría de estos servicios no están instalados en el sistema.
- DHCP
Si permite preguntas y respuestas DHCP de entrada, está permitiendo que cualquier interfaz de red que use DHCP determine sus direcciones IP. Normalmente DHCP está activado. Si DHCP no está activado, su ordenador no podrá obtener una dirección IP.
- SSH
Secure SHell (SSH) es un conjunto de herramientas para conectarse y ejecutar comandos en una máquina remota. Si desea utilizar herramientas SSH para acceder a su máquina a través de un firewall, active esta opción. Para acceder a su máquina remotamente, utilizando herramientas SSH, necesita tener instalado el paquete openssh-server
- Telnet
Telnet es un protocolo para conectarse a máquinas remotas. Las comunicaciones Telnet no son cifradas y no proporcionan seguridad ante la posibilidad de que alguien husmee la red. No se recomienda permitir el acceso Telnet de entrada. Si quiere permitir el acceso de entrada a Telnet, tendrá que instalar el paquete telnet-server.
- WWW (HTTP)
Apache (y otros servidores Web) utilizan el protocolo HTTP para servir páginas web. Si está planeando hacer su servidor Web accesible para todos, active esta opción. No se requiere esta opción para visualizar páginas localmente o para desarrollar páginas web. Tendrá que instalar el paquete apache si quiere servir páginas web.
Al activar WWW (HTTP) no se abrirá un puerto para HTTPS. Para activar HTTPS, especifíquelo en el campo Otros puertos.
- Mail (SMTP)
Si quiere permitir la entrega de correo a través de su firewall, de modo que hosts remotos puedan conectarse directamente a su máquina para entregar correo, active esta opción. No necesita activarla si recoge el correo desde su servidor de ISP utilizando POP3 o IMAP, o si usa una herramienta como por ejemplo fetchmail. Tenga en cuenta que un servidor SMTP que no esté configurado adecuadamente puede permitir que máquinas remotas usen su servidor para enviar correo basura.
- FTP
El protocolo FTP se utiliza para transferir archivos entre máquinas en red. Si quiere hacer su servidor FTP accesible para todos, active esta opción. Necesita instalar el paquete wu-ftpd para que esta opción sea de utilidad.
Haga click en OK para activar el firewall. Después de presionar OK, las opciones seleccionadas son traducidas a comandos iptables y escritos al archivo /etc/sysconfig/iptables. El servicio iptables es también iniciado para que el cortafuegos se active inmediatamente después de guardar las opciones seleccionadas.
 | Aviso |
|---|---|
Si tiene un firewall configurado o cualquier regla de firewall en el archivo /etc/sysconfig/iptables, el archivo será borrado si selecciona Ningún Firewall y luego presiona OK para guardar los cambios. |
Las opciones seleccionadas son también escritas al archivo /etc/sysconfig/redhat-config-securitylevel para que así la configuración pueda ser recuperada la próxima vez que se arranque la aplicación. No modifique este archivo manualmente.
Para activar el servicio iptables para que se inicie automáticamente en el momento de arranque, consulte la Sección 13.3 para más detalles.