PowerGate: un sistema de seguridad, alta disponibilidad y gestión de ancho de banda basado en GNU/Linux | ||
---|---|---|
Anterior | Siguiente |
El cortafuegos es un elemento clave en cualquier red corporativa, su labor es mantener al mínimo necesario los puntos de contacto entre el tráfico de red interno y externo. Un cortafuegos NO es una solución completa de seguridad, es tan solo parte de una buena política, pues permite delimitar que tráfico debe fluir desde Internet a nuestra red y viceversa.
PowerGate utiliza ipchains para realizar las funciones de cortafuegos. Permite realizar conexiones compartidas a Internet usando la técnica de masquerading, algo muy útil en conexiones a Internet con tecnologías Frame Relays, cable y ADSL. Con unas buenas reglas de filtrado se puede conseguir un nivel de seguridad razonable, adecuando las conexiones de red a la política de seguridad de la empresa.
El ancho de banda corporativo es un bien escaso y caro. Se debe realizar un control exhaustivo sobre él para evitar abusos y a su vez garantizar un ancho de banda suficiente para las necesidades corporativas (tales como servidores de correo, web, etc)
Para poder establecer una buena política de uso de ancho de banda se ha de poder realizar un seguimiento del uso del ancho de banda. PowerGate provee un historial detallado del uso de la red, permitiendo establecerse con estos datos una política de consumo del ancho de banda basada en argumentos reales, no suposiciones de consumo.
Una vez que tenemos claro el consumo del ancho de banda, se dispone de una herramienta para ajustar el consumo del ancho de banda de acuerdo a parámetros tales como IP fuente, IP destino, puertos fuente/destino y hora del día.
PowerGate emplea iproute y tc junto con técnicas de cbq para controlar el uso del ancho de banda corporativo.
Un proxy es un software de centralización y control de un protocolo de red determinado. Los clientes, en vez de conectarse directamente a la ubicación remota, lo hacen a través del servicio de proxy. Así, un proxy web hace que toda conexión HTTP de un cliente pase por él antes de llegar a un servidor remoto. Las principales ventajas de un proxy son:
El proxy es el único realmente conectado a Internet, aumentando la seguridad
Se puede hacer un control efectivo de contenidos, al ser un software especializado
Es una buena manera de acelerar la conexión a Internet mediante técnicas de cacheo
Como software de proxy PowerGate emplea squid, pues ha demostrado su enorme potencia y flexibilidad como proxy (transparente o no), permitiendo un adecuado control de contenidos así como una efectiva aceleración de la navegación web.
VPN es el acrónimo de Virtual Private Network, red privada virtual. Podríamos definir una VPN como una red privada (y por tanto confiable) construida usando infraestructura pública ( y por tanto no confiable). El principal uso que se les da a las VPN es la interconexión de redes privadas de delegaciones alejadas geográficamente usando como medio Internet, en vez de usar líneas dedicadas para ello, siendo por tanto un ahorro respecto a una infraestructura propia de telecomunicaciones. Otro posible uso es la realización de teletrabajo de una manera segura.
Por tanto, una VPN aporta privacidad, un ahorro de costes de mantenimiento y un ahorro de costes en infraestructuras, pues cualquier persona autorizada podrá trabajar como si estuviera en la oficina, aunque geográficamente puede estar en cualquier parte . Las principal desventaja es un mayor consumo del ancho de banda corporativo.
Una VPN usa diferentes técnicas de encriptación y seguridad para garantizar que sólo usuarios autorizados puedan acceder a la red y que los datos no puedan ser interceptados.
PowerGate se basa en el estándar abierto IPSEC y en su implementación libre, freeswan para realizar VPNs.
Una buena política de seguridad ha de tener muy en cuenta el análisis de logs y el uso de IDS (Intrusion Detection System) para detectar intrusiones; ninguna herramienta de seguridad es perfecta, por lo que alguna intrusión puede llegar a tener éxito. Es por ello que semejante contingencia ha de ser detectada lo antes posible para que el daño realizado sea mínimo.
PowerGate contempla esta eventualidad facilitando el análisis de logs y con la capacidad de que el administrador defina situaciones potencialmente sospechosas ante la cual PowerGate reacciona generando alertas tales como correos electrónicos, mensajes a móviles o avisos a máquinas en red. Powergate emplea para ello la capacidad de logueo de todos sus componentes así como logcheck para definir políticas de avisos.
A su vez, PowerGate cuenta con la posibilidad de generar "respuestas automáticas" ante determinados eventos sospechosos. Un ejemplo claro es añadir automáticamente una regla de cortafuegos ante repetidos escaneos de puertos desde la misma IP. De cualquier manera, esto ha de ser evaluado y considerado por el administrador, que es el encargado de definir que es sospechoso o no.
En determinados ambientes corporativos la conexión a Internet es un recurso crítico: un fallo hardware NO puede dejar sin conexión a Internet a la empresa. Es por ello por lo que PowerGate pueda ser configurado en alta disponibilidad en dos o más nodos, de tal modo que si uno de los nodos falla, el otro toma su función a los pocos segundos.
Para ello cada nodo comparte su configuración empleando software como rsync y openssh. La alta disponibilidad se consigue empleando técnicas de heartbeatpara conseguir un failover de servicios en caso de fallo hardware.
PowerGate también soporta raid por hardware, para evitar que el fallo de un disco duro pueda degradar la conexión a Internet.
La principal "pega" que una empresa pone al uso de GNU/Linux es la dificultad de configuración. Un cortafuegos con tantas funcionalidades como PowerGate ha de ser un producto complejo, pues fusiona muchas tecnologías
Se ha puesto un especial hincapié en la facilidad de uso. Para ello se dispone de un interfaz de configuración web ssl que permite un sencillo control de todas las funcionalidades del PowerGate. Se han empleado fragmentos de webmin para la configuración de algunos servicios, siendo el resto desarrollo propio de Optima Technologies.
PowerGate NO es un producto de gama alta. No es el mejor cortafuegos del mercado, ni el mejor proxy, ni el mejor gestor ancho de banda...no destaca en nada en especial, excepto en dos cosas:
Es capaz de solucionar de forma satisfactoria muchos problemas de conectividad y seguridad de una empresa. La mayor parte de las empresas NO necesitan todas las funcionalidades que dan productos como Checkpoint Firewall-1 o Raptor Firewall, pues sus necesidades no son tan complejas. PowerGate es capaz de cubrir perfectamente estas necesidades medias.
La relación calidad/precio de PowerGate es superior. En PowerGate el precio es un valor vital. Muchas empresas no pueden permitirse gastarse millones de pesetas en diferentes productos para tener una funcionalidad comparable a la de PowerGate
A su vez, PowerGate está dirigido a un segmento de mercado, el de las Medianas y grandes empresas no ISPs, en el que la problemática de la seguridad de redes está practicamente sin cubrir
PowerGate es un producto en continua evolución. Estas son las futuras líneas de investigación de PowerGate
Migración a kernel 2.4.x e iptables
Mejoras en el soporte de IDS con snort y portsentry
Integración en redes heterogéneas empleando openldap
Balanceo de carga por interfaces empleando las nuevas características de tc y EQL
Soporte de Itanium y mejor soporte de máquinas multiprocesador
Inclusión de pasarela de correo qmail
Inclusión de antivirus avp
Todo esto hace que PowerGate sea un producto vivo, pues la seguridad informática es un campo en continua evolución, no teniendo por tanto cabida las soluciones estáticas.