Funcionalidades de PowerGate

Cortafuegos

El cortafuegos es un elemento clave en cualquier red corporativa, su labor es mantener al mínimo necesario los puntos de contacto entre el tráfico de red interno y externo. Un cortafuegos NO es una solución completa de seguridad, es tan solo parte de una buena política, pues permite delimitar que tráfico debe fluir desde Internet a nuestra red y viceversa.

PowerGate utiliza ipchains para realizar las funciones de cortafuegos. Permite realizar conexiones compartidas a Internet usando la técnica de masquerading, algo muy útil en conexiones a Internet con tecnologías Frame Relays, cable y ADSL. Con unas buenas reglas de filtrado se puede conseguir un nivel de seguridad razonable, adecuando las conexiones de red a la política de seguridad de la empresa.

Monitor de tráfico de red / QoS

El ancho de banda corporativo es un bien escaso y caro. Se debe realizar un control exhaustivo sobre él para evitar abusos y a su vez garantizar un ancho de banda suficiente para las necesidades corporativas (tales como servidores de correo, web, etc)

Para poder establecer una buena política de uso de ancho de banda se ha de poder realizar un seguimiento del uso del ancho de banda. PowerGate provee un historial detallado del uso de la red, permitiendo establecerse con estos datos una política de consumo del ancho de banda basada en argumentos reales, no suposiciones de consumo.

Una vez que tenemos claro el consumo del ancho de banda, se dispone de una herramienta para ajustar el consumo del ancho de banda de acuerdo a parámetros tales como IP fuente, IP destino, puertos fuente/destino y hora del día.

PowerGate emplea iproute y tc junto con técnicas de cbq para controlar el uso del ancho de banda corporativo.

Proxy (transparente o no)

Un proxy es un software de centralización y control de un protocolo de red determinado. Los clientes, en vez de conectarse directamente a la ubicación remota, lo hacen a través del servicio de proxy. Así, un proxy web hace que toda conexión HTTP de un cliente pase por él antes de llegar a un servidor remoto. Las principales ventajas de un proxy son:

  1. El proxy es el único realmente conectado a Internet, aumentando la seguridad

  2. Se puede hacer un control efectivo de contenidos, al ser un software especializado

  3. Es una buena manera de acelerar la conexión a Internet mediante técnicas de cacheo

Como software de proxy PowerGate emplea squid, pues ha demostrado su enorme potencia y flexibilidad como proxy (transparente o no), permitiendo un adecuado control de contenidos así como una efectiva aceleración de la navegación web.

VPN

VPN es el acrónimo de Virtual Private Network, red privada virtual. Podríamos definir una VPN como una red privada (y por tanto confiable) construida usando infraestrucura pública ( y por tanto no confiable). El principal uso que se les da a las VPN es la interconexión de redes privadas de delegaciones alejadas geográficamente usando como medio Internet, en vez de usar líneas dedicadas para ello, siendo por tanto un ahorro respecto a una infraestructura propia de telecomunicaciones. Otra posible uso es la realización de teletrabajo de una manera segura.

Por tanto, una VPN aporta privacidad, un ahorro de costes de mantenimieno y un ahorro de costes en infraestructuras, pues cualquier persona autorizada podrá trabajar como si estuviera en la oficina, aunque geográficamente puede estar en cualquier parte . Las principal desventaja es un mayor consumo del ancho de banda corporativo.

Una VPN usa diferentes técnicas de encriptación y seguridad para garantizar que sólo usuarios autorizados puedan acceder a la red y que los datos no puedan ser interceptados.

PowerGate se basa en el estándar abierto IPSEC y en su implementación libre, freeswan para realizar VPNs.

IDS y análisis de logs

Una buena política de seguridad ha de tener muy en cuenta el análisis de logs y el uso de IDS (Intrussion Deteciton System) para detectar intrusiones; ninguna herramienta de seguridad es perfecta, por lo que alguna intrusión puede llegar a tener éxito. Es por ello que semejante contingencia ha de ser detectada lo antes posible para que el daño realizado sea mínimo.

PowerGate contempla esta eventualidad facilitando el análisis de logs y con la capacidad de que el administrador defina situaciones potencialmente sospechosas ante la cual PowerGate reacciona generando alertas tales como correos electrónicos, mensajes a móviles o avisos a máquinas en red. Powergate emplea para ello la capacidad de logueo de todos sus componentes así como logcheck para definir políticas de avisos.

Alta disponibilidad

En determinados ambientes corporativos la conexión a Internet es un recurso crítico: un fallo hardware NO puede dejar sin conexión a Internet a la empresa. Es por ello por lo que PowerGate pueda ser configurado en alta disponibilidad en dos o más nodos, de tal modo que si uno de los nodos falla, el otro toma su función a los pocos segundos.

Para ello cada nodo comparte su configuración empleando software como rsync y openssh. La alta disponibilidad se consigue empleando técnicas de heartbeat para coneguir un failover de servicios en caso de fallo hardware.

PowerGate también soporta raid por hardware, para evitar que el fallo de un disco duro pueda degradar la conexión a Internet.

Facilidad de configuración

La principal "pega" que una empresa pone al uso de GNU/Linux es la dificultad de configuración. Un cortafuegos con tantas funcionalidades como PowerGate ha de ser un producto complejo, pues fusiona muchas tecnologías

Se ha puesto un especial hincapié en la facilidad de uso. Para ello se dispone de un interfaz de configuración web ssl que permite un sencillo control de todas las funcionalidades del PowerGate. Se han empleado fragmentos de webmin para la configuración de algunos servicios, siendo el resto desarrollo propio de Optima Technologies.

Plan de futuro

PowerGate es un producto en continua evolución. Estas son las futuras líneas de investigación de PowerGate

  1. Migración a kernel 2.4.x e iptables

  2. Mejoras en el soporte de IDS con snort y portsentry

  3. Integración en redes heterogeneas empleando openldap

  4. Balanceo de carga por interfaces empleando las nuevas características de tc y EQL

  5. Soporte de Itanium y mejor soporte de máquinas SMP

  6. Inclusión de pasarela de correo qmail

  7. Inclusión de antivirus avp

Todo esto hace que PowerGate sea un producto vivo, pues la seguridad informática es un campo en continua evolución, no teniendo por tanto cabida las soluciones estáticas.