| Artículos | 01 DIC 2000

Instalación de un firewall (y II)

Tags: Histórico
La capa de servicios. Dotamos a nuestra instalación segura de funcionalidad
Raquel Castro.
El pasado mes de noviembre incluíamos un reportaje sobre la instalación de un firewall en una plataforma Linux. En esas páginas, se ofrecían consejos y comentarios sobre cómo instalar el cortafuegos. Ahora, en esta segunda entrega vamos a revestir este dispositivo de seguridad con algo que le otorgue valor, es decir, servicios, porque no sólo de seguridad vive una empresa. Evidentemente, esta seguridad es el mejor punto de partida, pero una compañía debe saber rentabilizar al máximo sus inversiones en tecnología y, desde la tranquilidad que le ofrece su ya remodelada instalación, planificar una oferta de opciones para clientes, proveedores, partners y sus propios empleados, lo suficientemente amplia como para que nada quede fuera.

Para comenzar, hagamos un poco de memoria y recordemos que contábamos con un servidor, que denominamos lobo.ejemplo.com, y sobre él vamos a situar una serie de servicios para conseguir lo que denominaremos sencillo.ejemplo.com.

Servicios a añadir
Llegado este punto, el responsable de la red o, en su caso, el asesor de éste, deben decidir qué tipos de servicios van a implementarse sobre la red.
Evidentemente, dependiendo de la actividad de la empresa y del uso que quiera dar a su servidor Web estaremos hablando de unos u otros servicios, y de mayor o menor cantidad de ellos. Por tanto, iniciar aquí una interminable lista de opciones sería un tanto inviable, porque es algo que ya debe estar decidido por aquellos que quieren realizar la implementación.
Pero hemos querido ofrecer algunos ejemplos significativos que casi cualquier servidor Web debería ofrecer, con el fin de ampliar el abanico de opciones que la empresa ofrecerá, incorporando estos a los propios de su actividad.
Por tanto, partiendo de un servicio de correo, hemos configurado una pequeña lista de opciones que se pueden barajar para ponerse a trabajar.

Servicio de correo
Uno de los servicios más destacados con los que queremos dotar a nuestro servidor es el de correo. Con el fin de poder intercambiar mensajes con otros servidores, debemos conectar nuestro servidor de correo con la Red. Como no queríamos instalar un servidor POP sobre nuestro firewall ni tener cuentas en él, decidimos configurar un servidor de correo que pudiera enviar y recibir mensajes de correo electrónico planos, sin formato.
Lo que decidimos hacer fue instalar Sendmail en nuestro servidor. Se trata de un agente de transporte de correo gratuito, pero nos dimos cuenta de que tiene numerosos problemas de seguridad y facilidad de manejo. En primer lugar, cuenta sólo con un daemon, que actúa como raíz. Esto limita el número de privilegios. Además, se trata de un producto muy grande, complicado y difícil de configurar. Por último, se trata de un software que está capacitado para realizar más funciones que la simple gestión de correo entre servidores.
La siguiente opción de la lista era Postfix, y optamos por ella. Se trata de un relativamente nuevo servidor de correo concienciado con la seguridad. Le dimos un uso interno y comprobamos que es pequeño y fácil de configurar. Además, viene acompañado de Trustix, ambos muy sencillos de instalar. De hecho, podríamos llegar a decir que una de las razones por las que decidimos instalar Trustix fue porque estaba acompañado de Postfix.

Configuración de Postfix
El primer paso para llevar a buen término la instalación de este servidor de correo es comunicarle el nombre de nuestra máquina. Así, procedimos a ejecutar la orden myhostname = lobo.ejemplo.com.
Es necesario que le comuniquemos de forma explícita y clara al software el nombre de nuestro servidor, con el fin de que él lo tome como el principal servidor de la instalación, porque no queremos, en ningún caso, que nuestro servidor haga aguas, lo que podría llegar a abrir una puerta a cualquier intruso malicioso.
El siguiente paso es indicar al servidor el nombre de los servidores de los que puede recibir correo y aceptarlo. Nuestra intención es que Postfix acepte correo de lobo.ejemplo.com y de otros servidores ejemplo.com, por lo que procedimos a indicárselo: mydestination = $lobo, localhost.$ejemplo, $ejemplo.
Posteriormente, procedimos a confeccionar la gestión de los mensajes recibidos. Con Postfix, la información es almacenada en el fichero /etc/Postfix/trasnport. Por este motivo, insertamos las siguientes instrucciones en el fichero para que todo el correo de lobo pueda se reenviado localmente y entre todos los otros servidores ejemplo.com. Las instrucciones son:

lobo.ejemplo.como local:
.ejemplo.com smtp:[10.1.1.1]
ejemplo.com smtp:[10.1.1.1]

Como se puede notar a simple vista, hemos empleado la dirección IP interna [10.1.1.1]. Esto lo hemos hecho por dos razones. Primero, porque se trata de una instalación barata y sólo contamos con una dirección IP real. Segundo, porque no hemos configurado el nombre interno del servidor todavía. Con ello, evitamos que la gestión del correo dependa del nombre del servidor.
Posteriormente, tenemos que configurar Postfix para emplearlo como sistema de transporte de ficheros, algo que el software no realiza por defecto. Para conseguirlo, es necesario introducir en el fichero /etc/Postfix/main.cf que indique trasnport_maps 0 hash:/etc/Postfix/trasnport.
Una vez cumplimentado este requisito, tenemos que asegurarnos de que nuestro servidor está capacitado para recibir correo del resto de servidores internos. Por defecto, el software que hemos instalado sólo acepta correo del servidor que hemos asignado a mydestination, con el fin de evitar el abuso de los spammers, que emplean una tercera parte de los servidores de correo para reenviar mensajes enmascarando los orígenes del mismo. En nuestro caso, la intención es poder recibir correo de los servidores que se encuentran dentro de nuestra estructura empresarial. Si el cliente no tiene ninguna máquina instalada fuera del cortafuegos, podemos adoptar la política de sólo aceptar correo que circule por dentro del firewall. Para hacer esto, sólo es necesario añadir al fichero etcPostfix/main.cf la línea mynetworks = 10.0.0.0/8. Esta instrucción es exactamente igual a especificar una dirección IP 10.0.0.0 con una máscara de 255.0.0.0, con lo que el resultado obtenido no varía nada.
Otro paso que no debemos olvidar es proteger al sistema del luser mail, es decir, correo para nuestro dominio dirigido a un usuario que no existe. Por ejemplo, si alguien envía un mensaje a cralberto@lobo.com. pero no tenemos ningún cliente con esta dirección, nos encontramos ante lo que se denomina luser mail. Como nuestra intención es reducir al máximo el número de usuarios con cuenta en nuestro servidor, tenemos que redirigir todo este tráfico de luser mail. Así, procedemos a introducir en el fichero /etc/Postfix/main.cf la línea que redirige todo nuestro correo con o sin destinatario identificado hacia un mismo lugar: luser_relay = $user@ejemplo.com.
Una vez que confirmamos que todo este entramado nos permitía recibir el correo tal y como nosotros queríamos recibirlo, nos vimos capacitados para dar un nuevo paso adelante : redirigir todo el correo saliente hacia lobo, con lo que nos vimos obligados a modificar el fichero sendmail.cf para preparar la instalación que ya teníamos en funcionamiento.

Otros servicios a implementar
Terminada nuestra primera tarea, proseguimos con nuestros deberes. El siguiente trabajo de la list
Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios