Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DISEÑO E IMPLEMENTACIÓN DE UN
SISTEMA DE SEGURIDAD UTILIZANDO
FIREWALL BASADO EN FREEBSD
Jhon Carlos Castillo Atencio, Estudiante de la carrera de ingeniería de
Sistemas
Resumen – La seguridad informática, trata de minimizar acceda a Internet. El sistema operativo FreeBSD es capaz
los riesgos asociados al acceso y utilización de determinado de construir un firewall y un proxy. Mediante el uso de
sistema, de forma no autorizada y en general FreeBSD, el famoso sistema operativo capacitado para la
malintencionada, por tanto, implica la necesidad de gestión seguridad de redes, podemos lograr una alta eficiencia de
de riesgo. (Galdámez,2003).
la red por el bajo costo del hardware, mientras que la
Dejar que todas las computadoras de una red interna
solución
compartan una cantidad limitada direcciones IP públicas, y
cuidar bien la seguridad de los datos, que en muchos casos
son información sensible, son muy importantes en la del sistema operativo Windows es menos eficiente a
seguridad y gestión de las redes. A todo esto, se suma que comparación de FreeBSD
constantemente se realizan ataques para vulnerar los
sistemas y así hacerse con la información, estos ataques son II. MODELO TCP/IP
cada vez más sofisticados y son capaces de bloquear las La organización internacional para la estandarización
defensas de la red. Es por eso que se necesitan crear
mecanismos de defensan para poder resguardar la
(ISO), realizo el documento que marcaría la referencia
confidencialidad, disponibilidad e integridad de la para un protocolo para la interconexión de sistemas
información servicios de la red. En este documento abiertos. En un principio se diseñó para que sirviese como
analizaremos las características de FreeBSD, la estándar para la comunicación, ya que existían múltiples
introducción para implementar el firewall en FreeBSD, e protocolos propios de empresas y era muy difícil la
implementar un servidor proxy con Squid que puede comunicación entre dispositivos de diferentes fabricantes,
proporcionar una política de alta seguridad. Comparado
pero la finalidad no se llegó a conseguir.
con la implementación de firewall basado en el sistema
operativo Windows, el esquema de FreeBSD es más
eficiente, estable y seguro. En contra posición de todos los protocolos que estaban
surgiendo de mano de los diferentes fabricantes, el
Indices de Términos - Firewall; FreeBSD; Seguridad de red; modelo que se empieza a imponer, y a tener éxito es el
Squid modelo TCP/IP, más sencillo que el modelo OSI y el cual
ya contaba con protocolos definidos.
I. INTRODUCCIÓN
El modelo TCP/IP cuenta con 4 capas, frente a las 7
C uando se tiene una conexión a internet y direcciones
capas definidas por el modelo OSI. En la siguiente Figura
se puede apreciar la comparación entre las distintas capas
IP publicas limitadas, con el fin de compartir la conexión de los dos modelos
a internet con todas las computadoras de la red interna y
cuidar bien la seguridad de la misma. Necesitamos
resolver dos problemas clave: salvaguardar la seguridad
de la red interna mediante un firewall, bloqueando la
intrusión de Internet; construir un servidor proxy, con una
red interna proxy y que la computadora
2
La instancia de la topología de red que se muestra en la # Permitir el tráfico ICMP dentro de la red.
Figura 2, FreeBSD tiene dos interfaces de red: rl0 y rl1. add 01000 allow icmp from 192.168.0.0/16 to any via
4
rl0
# Permitir la conexión TCP establecida. VI. IMPLEMENTACIÓN DEL SERVIDOR PROXY SERVER
add 01100 pass tcp from any to any established
Un servidor proxy es un servidor que actúa como
# Bloquear y registrar las conexiones activas TCP intermediario para las solicitudes de los clientes que
desde Internet. buscan recursos de otros servidores. Un cliente se conecta
add 01200 deny log tcp from any to any in via rl1 setup al servidor proxy y solicita algún servicio, como un
archivo, conexión, página web u otro recurso disponible
# Permitir a través de otras conexiones TCP en un servidor diferente. El servidor proxy evalúa la
add 01300 pass tcp from any to any setup solicitud como una forma de simplificar y controlar su
complejidad. Con Squid FreeBSD puede actuar bien
# Permitir consultas de DNS a Internet como servidor proxy.
add 01400 pass udp from w.x.y.z to any 53 keep-state
A. Instalacion de Squid
# Block and record all other communications.
add 01500 deny log all from any to any
Cuando uno tiene varias máquinas dentro de una red en
la nube, es natural solicitar tráfico de red centralizado,
B. Habilitar el cortafuegos IPFW archivos de datos, servicio de credenciales, etc.
Todo lo que necesitamos es agregar los parámetros
de configuración relevantes en el archivo de Con el tráfico de Internet centralizado, el servidor
configuración del sistema rc.conf both. Inicie sesión proxy puede acelerar los procesos de descarga de algunos
como root, proceda de la siguiente manera: archivos a los que se accede con frecuencia, como los
parches del sistema operativo.
#cd /etc
#vi rc.conf En esta parte, instalamos Squid como un servidor proxy
opaco y configuramos algunos clientes para usarlo.
Edite el archivo de configuración rc.conf, agregue las
siguientes tres líneas al final: Entonce podemos decir que Squid es un software de
servidor proxy eficiente para el cliente del navegador. Es
firewall_enable = "YES" compatible con los protocolos HTTP y FTP, y también es
firewall_type = "/etc/ipfw.rules" compatible con el protocolo encriptado SSL. Muchas
firewall_logging = "YES" universidades y otras grandes redes también utilizan
Squid para controlar, acelerar y navegar por Internet.
Luego, un reinicio permitiría que la configuración surta
efecto. Si opera localmente, podemos cambiar al modo de Inicie sesión como root, siga los siguientes pasos para
usuario único, luego volver al modo de múltiples usuarios instalar el software Squid:
para
volver a cargar el archivo de configuración rc.conf. De #pkg_add -r squid
esta forma no es necesario reiniciar el sistema. Inicie
sesión como root, proceda con los siguientes pasos Esto instalaría la última versión de Squid del
repositorio de paquetes compilados de FreeBSD. Después
#shutdown now de la instalación, reinicialice el directorio de caché de
Squid de la siguiente manera
Mientras se le solicite, presione la tecla "Enter".
#squid –z
#return
Para permitir que Squid se inicie automáticamente cada
Entonces el firewall de la red está listo al igual que lo vez con el sistema, agregue una línea en el archivo de
hace un reinicio. configuración /etc/rc.conf al final:
squid_enable = "YES"
5
#acl our_networks src 192.168.1.0/24 192.168.2.0/24 Por eso el esquema mencionado anteriormente
construye un firewall IPFW y un servidor proxy Squid
#http_access allow our_networks utilizando FreeBSD con éxito. Al mismo tiempo, protege
la seguridad de la red interna.
Debajo, agregue las siguientes dos líneas:
En comparación con la implementación de software
acl our_networks src 192.168.0.0/24 basada en la plataforma del sistema operativo Windows,
el esquema FreeBSD es más eficiente, estable y seguro.
http_access allow our_networks
REFERENCES
Luego, guarde el archivo de configuración y vuelva a
cargar o reinicie el servicio Squid para leer el nuevo
archivo de configuración: [1] Ugen J. S. Antsilevich, Poul-Henning Kamp, Alex Nash, Archie
Cobbs.
# /usr/local/etc/rc.d/squid.sh recarga “IPFW FreeBSD System Manager's Manual”.
<http://www.freebsd.org/cgi/man.cgi?query=ipfw>..
O [2] Wikipedia. “FreeBSD”. <http://en.wikipedia.org/wiki/Freebsd>
IX. CONCLUSIÓN