Un cortafuegos en sentido estricto no necesita ningún sófgüer aparte del núcleo de Línux y los programas básicos de red (inetd, telnetd y telnet, ftpd y ftp). Pero un cortafuegos así es extremadamente restrictivo y no muy útil.
Así que la gente ha hecho programas para aumentar la utilidad de los
cortafuegos. El que examinaremos con mayor detalle es un paquete
llamado "socks", que implementa un servidor proxi
. Sin embargo, existe
otro par de programas que hay que tomar en consideración. Ahora les
daremos un rápido repaso.
TIS ha sacado una colección de programas para facilitar la realización
de cortafuegos. Básicamente, los programas hacen lo mismo que el
paquete Socks, pero tiene una estrategia de diseño diferente. Mientras
que Socks
tiene un único programa que cubre todas las operaciones de
la Internet, TIS
provee un programa para cada utilidad que quiera usar
el cortafuegos.
Para compararlos mejor, veamos el ejemplo del acceso al Güeb y por
Télnet.
Con Socks
, hay que hacer un fichero de configuración y poner en marcha
un demonio. Mediante ese fichero y ese demonio se activan tanto el Télnet
como el Güeb
, así como cualquier otro servicio que no se haya desactivado
explicitamente.
Con las herramientas TIS
, se arranca un demonio para el Güeb
y otro
para el Télnet
, y se escribe un fichero de configuración para cada
uno. Después de haber hecho eso, el resto de formas de acceso a
Internet siguen prohibidas hasta que se configuren explicitamente. Si
no existe un demonio especial para una determinada utilidad (por
ejemplo, para talk), hay un demonio "para todo" pero no es ni tan
flexible, ni tan fácil de configurar como las otras herramientas.
Esto puede parecer una diferencia menor, pero en realidad es una gran
diferencia. Socks
permite ser desidioso. Con un servidor de Socks
mal
configurado la gente de dentro tiene más acceso a la Internet del que
se quería. Con las herramientas TIS
, la gente del interior tiene
sólamente el acceso que el administrador del sistema quiera que
tengan.
Socks
es más fácil de configurar, más fácil de compilar, y permite una
mayor flexibilidad. El juego de herramientas de TIS
es mas seguro si
se quiere controlar a los usuarios de dentro. Los dos proporcionan una
protección absoluta del exterior.
El cobertor de TCP no es una utilidad de cortafuegos, pero sirve para algo parecido. Usando el cobertor de TCP podemos controlar quién tiene acceso a nuestra máquina y a qué servicios, así como registrar las conexiones. También ofrece detección básica de impostores.
El cobertor de TCP no se cubre de manera más extensa aquí por un par de razones: