Cadenas de usuario (ipchains)
Los tres conjuntos de reglas del código del cortafuegos de IP tradicional proporcionan un mecanismo
para construir configuraciones de cortafuegos que eran bastante simples de entender y de gestionar en
el caso de pequeñas redes con requisitos simples en cuanto a funcionalidad de cortafuegos. Cuando los requisitos de configuración no son tan simples, aparecen numerosos problemas. En primer lugar, las redes muy grandes requieren con frecuencia un número mucho mayor de reglas de cortafuegos que el pequeño que hemos visto hasta ahora; de forma inevitable, aparecen necesidades que requieren que se añadan reglas de cortafuegos para cubrir escenarios con casos especiales. Cuando el número de reglas empieza a crecer, el rendimiento del cortafuegos disminuye más y más según más y más comprobaciones tienen que realizarse sobre cada datagrama y la facilidad de gestión se convierte en un asunto importante. En segundo lugar, no es posible habilitar y deshabilitar conjuntos de reglas atómicamente; en cambio, usted se encontrará inevitablemente expuesto a ataques mientras se encuentre en medio de una reconstrucción de sus conjuntos de reglas.
El diseño del cortafuegos ’IP Chains’ ayuda a soliviantar estos problemas al permitir al administrador de la red crear conjuntos arbitrarios de reglas de cortafuegos que se pueden enlazar con los tres conjuntos de reglas predefinidas. Se puede utilizar la opción -N de ipchains para crear una nueva cadena con el nombre de ocho caracteres o menos que nos plazca. (Probablemente sea buena idea restringir el nombre a uno formado por minúsculas solamente). La opción -j configura la acción que se tomará cuando el datagrama concuerde con la especificación de la regla. La opción -j especifica que si un datagrama concuerda con una regla, entonces deben realizarse más comprobaciones contra una cadena definida por usuario. Se ilustrará esto con un diagrama.
Se establece la política por defecto de la cadena de entrada a deny. La segunda orden crea una cadena de usuairo denominada “tcpin.” La tercera orden añade una regla a la cadena tcpin que concuerda con cualquier datagrama cuyo origen esté fuera de nuestra red; la regla no representa ninguna acción. Esta regla es una regla de auditoría que se discutirá con más detalle en Capítulo 10. Las dos reglas siguientes concuerdan con cualquier datagrama destinado a nuestra red local tanto al puerto de s sh como al de www; los datagramas que concuerden con estas reglas son aceptados. La magia de ipchains empieza en la regla siguiente. Obliga al ’software’ del cortafuegos a que compruebe cualquier datagrama del protocolo de TCP contra la cadena de usuario tcpin. Por último, se añade una regla a la cadena input que concuerda con cualquier datagrama; esto es otra regla de auditoría.
Califica este Artículo
Categoría: Conectividad y Redes.
Deja una respuesta