| PowerGate: un sistema de seguridad, alta disponibilidad y gesti�n de ancho de banda basado en GNU/Linux | ||
|---|---|---|
| Anterior | Siguiente | |
El cortafuegos es un elemento clave en cualquier red corporativa, su labor es mantener al m�nimo necesario los puntos de contacto entre el tr�fico de red interno y externo. Un cortafuegos NO es una soluci�n completa de seguridad, es tan solo parte de una buena pol�tica, pues permite delimitar que tr�fico debe fluir desde Internet a nuestra red y viceversa.
PowerGate utiliza ipchains para realizar las funciones de cortafuegos. Permite realizar conexiones compartidas a Internet usando la t�cnica de masquerading, algo muy �til en conexiones a Internet con tecnolog�as Frame Relays, cable y ADSL. Con unas buenas reglas de filtrado se puede conseguir un nivel de seguridad razonable, adecuando las conexiones de red a la pol�tica de seguridad de la empresa.
El ancho de banda corporativo es un bien escaso y caro. Se debe realizar un control exhaustivo sobre �l para evitar abusos y a su vez garantizar un ancho de banda suficiente para las necesidades corporativas (tales como servidores de correo, web, etc)
Para poder establecer una buena pol�tica de uso de ancho de banda se ha de poder realizar un seguimiento del uso del ancho de banda. PowerGate provee un historial detallado del uso de la red, permitiendo establecerse con estos datos una pol�tica de consumo del ancho de banda basada en argumentos reales, no suposiciones de consumo.
Una vez que tenemos claro el consumo del ancho de banda, se dispone de una herramienta para ajustar el consumo del ancho de banda de acuerdo a par�metros tales como IP fuente, IP destino, puertos fuente/destino y hora del d�a.
PowerGate emplea iproute y tc junto con t�cnicas de cbq para controlar el uso del ancho de banda corporativo.
Un proxy es un software de centralizaci�n y control de un protocolo de red determinado. Los clientes, en vez de conectarse directamente a la ubicaci�n remota, lo hacen a trav�s del servicio de proxy. As�, un proxy web hace que toda conexi�n HTTP de un cliente pase por �l antes de llegar a un servidor remoto. Las principales ventajas de un proxy son:
El proxy es el �nico realmente conectado a Internet, aumentando la seguridad
Se puede hacer un control efectivo de contenidos, al ser un software especializado
Es una buena manera de acelerar la conexi�n a Internet mediante t�cnicas de cacheo
Como software de proxy PowerGate emplea squid, pues ha demostrado su enorme potencia y flexibilidad como proxy (transparente o no), permitiendo un adecuado control de contenidos as� como una efectiva aceleraci�n de la navegaci�n web.
VPN es el acr�nimo de Virtual Private Network, red privada virtual. Podr�amos definir una VPN como una red privada (y por tanto confiable) construida usando infraestructura p�blica ( y por tanto no confiable). El principal uso que se les da a las VPN es la interconexi�n de redes privadas de delegaciones alejadas geogr�ficamente usando como medio Internet, en vez de usar l�neas dedicadas para ello, siendo por tanto un ahorro respecto a una infraestructura propia de telecomunicaciones. Otro posible uso es la realizaci�n de teletrabajo de una manera segura.
Por tanto, una VPN aporta privacidad, un ahorro de costes de mantenimiento y un ahorro de costes en infraestructuras, pues cualquier persona autorizada podr� trabajar como si estuviera en la oficina, aunque geogr�ficamente puede estar en cualquier parte . Las principal desventaja es un mayor consumo del ancho de banda corporativo.
Una VPN usa diferentes t�cnicas de encriptaci�n y seguridad para garantizar que s�lo usuarios autorizados puedan acceder a la red y que los datos no puedan ser interceptados.
PowerGate se basa en el est�ndar abierto IPSEC y en su implementaci�n libre, freeswan para realizar VPNs.
Una buena pol�tica de seguridad ha de tener muy en cuenta el an�lisis de logs y el uso de IDS (Intrusion Detection System) para detectar intrusiones; ninguna herramienta de seguridad es perfecta, por lo que alguna intrusi�n puede llegar a tener �xito. Es por ello que semejante contingencia ha de ser detectada lo antes posible para que el da�o realizado sea m�nimo.
PowerGate contempla esta eventualidad facilitando el an�lisis de logs y con la capacidad de que el administrador defina situaciones potencialmente sospechosas ante la cual PowerGate reacciona generando alertas tales como correos electr�nicos, mensajes a m�viles o avisos a m�quinas en red. Powergate emplea para ello la capacidad de logueo de todos sus componentes as� como logcheck para definir pol�ticas de avisos.
A su vez, PowerGate cuenta con la posibilidad de generar "respuestas autom�ticas" ante determinados eventos sospechosos. Un ejemplo claro es a�adir autom�ticamente una regla de cortafuegos ante repetidos escaneos de puertos desde la misma IP. De cualquier manera, esto ha de ser evaluado y considerado por el administrador, que es el encargado de definir que es sospechoso o no.
En determinados ambientes corporativos la conexi�n a Internet es un recurso cr�tico: un fallo hardware NO puede dejar sin conexi�n a Internet a la empresa. Es por ello por lo que PowerGate pueda ser configurado en alta disponibilidad en dos o m�s nodos, de tal modo que si uno de los nodos falla, el otro toma su funci�n a los pocos segundos.
Para ello cada nodo comparte su configuraci�n empleando software como rsync y openssh. La alta disponibilidad se consigue empleando t�cnicas de heartbeatpara conseguir un failover de servicios en caso de fallo hardware.
PowerGate tambi�n soporta raid por hardware, para evitar que el fallo de un disco duro pueda degradar la conexi�n a Internet.
La principal "pega" que una empresa pone al uso de GNU/Linux es la dificultad de configuraci�n. Un cortafuegos con tantas funcionalidades como PowerGate ha de ser un producto complejo, pues fusiona muchas tecnolog�as
Se ha puesto un especial hincapi� en la facilidad de uso. Para ello se dispone de un interfaz de configuraci�n web ssl que permite un sencillo control de todas las funcionalidades del PowerGate. Se han empleado fragmentos de webmin para la configuraci�n de algunos servicios, siendo el resto desarrollo propio de Optima Technologies.
PowerGate NO es un producto de gama alta. No es el mejor cortafuegos del mercado, ni el mejor proxy, ni el mejor gestor ancho de banda...no destaca en nada en especial, excepto en dos cosas:
Es capaz de solucionar de forma satisfactoria muchos problemas de conectividad y seguridad de una empresa. La mayor parte de las empresas NO necesitan todas las funcionalidades que dan productos como Checkpoint Firewall-1 o Raptor Firewall, pues sus necesidades no son tan complejas. PowerGate es capaz de cubrir perfectamente estas necesidades medias.
La relaci�n calidad/precio de PowerGate es superior. En PowerGate el precio es un valor vital. Muchas empresas no pueden permitirse gastarse millones de pesetas en diferentes productos para tener una funcionalidad comparable a la de PowerGate
A su vez, PowerGate est� dirigido a un segmento de mercado, el de las Medianas y grandes empresas no ISPs, en el que la problem�tica de la seguridad de redes est� practicamente sin cubrir
PowerGate es un producto en continua evoluci�n. Estas son las futuras l�neas de investigaci�n de PowerGate
Migraci�n a kernel 2.4.x e iptables
Mejoras en el soporte de IDS con snort y portsentry
Integraci�n en redes heterog�neas empleando openldap
Balanceo de carga por interfaces empleando las nuevas caracter�sticas de tc y EQL
Soporte de Itanium y mejor soporte de m�quinas multiprocesador
Inclusi�n de pasarela de correo qmail
Inclusi�n de antivirus avp
Todo esto hace que PowerGate sea un producto vivo, pues la seguridad inform�tica es un campo en continua evoluci�n, no teniendo por tanto cabida las soluciones est�ticas.