Mon Nov 9 06:01:21 UTC 2009

Author: rlandmann

Update of /cvs/fedora/web/html/docs/security-guide/f12/es-ES/html
In directory cvs1.fedora.phx.redhat.com:/tmp/cvs-serv20833/es-ES/html

Added Files:
	Security_Guide-Encryption-Data_in_Motion-Secure_Shell.html 
	Security_Guide-Encryption-Data_in_Motion-Virtual_Private_Networks.html 
	Security_Guide-Encryption-Data_in_Motion.html 
	Security_Guide-Encryption-Protecting_Data_at_Rest-File_Based_Encryption.html 
	We_Need_Feedback.html chap-Security_Guide-Encryption.html 
	chap-Security_Guide-General_Principles_of_Information_Security.html 
	chap-Security_Guide-References.html 
	chap-Security_Guide-Secure_Installation.html 
	chap-Security_Guide-Securing_Your_Network.html 
	chap-Security_Guide-Security_Overview.html 
	chap-Security_Guide-Software_Maintenance.html index.html 
	pref-Security_Guide-Preface.html 
	sect-Security_Guide-Additional_Resources-Related_Books.html 
	sect-Security_Guide-Additional_Resources-Related_Documentation.html 
	sect-Security_Guide-Additional_Resources-Useful_Firewall_Websites.html 
	sect-Security_Guide-Additional_Resources-Useful_IP_Tables_Websites.html 
	sect-Security_Guide-Additional_Resources-Useful_Kerberos_Websites.html 
	sect-Security_Guide-Additional_Resources-Useful_PAM_Websites.html 
	sect-Security_Guide-Additional_Resources-Useful_TCP_Wrappers_Websites.html 
	sect-Security_Guide-Altering_xinetd_Configuration_Files-Access_Control_Options.html 
	sect-Security_Guide-Altering_xinetd_Configuration_Files-Binding_and_Redirection_Options.html 
	sect-Security_Guide-Altering_xinetd_Configuration_Files-Resource_Management_Options.html 
	sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Network_Security.html 
	sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html 
	sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security.html 
	sect-Security_Guide-Attackers_and_Vulnerabilities.html 
	sect-Security_Guide-Basic_Firewall_Configuration-Activating_the_IPTables_Service.html 
	sect-Security_Guide-Basic_Firewall_Configuration-Enabling_and_Disabling_the_Firewall.html 
	sect-Security_Guide-Basic_Firewall_Configuration-Other_Ports.html 
	sect-Security_Guide-Basic_Firewall_Configuration-Saving_the_Settings.html 
	sect-Security_Guide-Basic_Firewall_Configuration-Trusted_Services.html 
	sect-Security_Guide-Command_Options_for_IPTables-Command_Options.html 
	sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html 
	sect-Security_Guide-Command_Options_for_IPTables-IPTables_Parameter_Options.html 
	sect-Security_Guide-Command_Options_for_IPTables-Listing_Options.html 
	sect-Security_Guide-Command_Options_for_IPTables-Target_Options.html 
	sect-Security_Guide-Common_Exploits_and_Attacks.html 
	sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation-Instructions.html 
	sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Things_of_note.html 
	sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Usage_Instructions.html 
	sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html 
	sect-Security_Guide-Encryption-Protecting_Data_at_Rest-Full_Disk_Encryption.html 
	sect-Security_Guide-Encryption-Using_GPG-About_Public_Key_Encryption.html 
	sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE.html 
	sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE1.html 
	sect-Security_Guide-Encryption-Using_GPG.html 
	sect-Security_Guide-Evaluating_the_Tools-Anticipating_Your_Future_Needs.html 
	sect-Security_Guide-Evaluating_the_Tools-Nessus.html 
	sect-Security_Guide-Evaluating_the_Tools-Nikto.html 
	sect-Security_Guide-Evaluating_the_Tools-VLAD_the_Scanner.html 
	sect-Security_Guide-FORWARD_and_NAT_Rules-DMZs_and_IPTables.html 
	sect-Security_Guide-FORWARD_and_NAT_Rules-Prerouting.html 
	sect-Security_Guide-Firewalls-Additional_Resources.html 
	sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html 
	sect-Security_Guide-Firewalls-Common_IPTables_Filtering.html 
	sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html 
	sect-Security_Guide-Firewalls-IPTables_and_Connection_Tracking.html 
	sect-Security_Guide-Firewalls-IPv6.html 
	sect-Security_Guide-Firewalls-Malicious_Software_and_Spoofed_IP_Addresses.html 
	sect-Security_Guide-Firewalls-Using_IPTables.html 
	sect-Security_Guide-Firewalls.html 
	sect-Security_Guide-IPTables-Additional_Resources.html 
	sect-Security_Guide-IPTables-Command_Options_for_IPTables.html 
	sect-Security_Guide-IPTables-IPTables_Control_Scripts.html 
	sect-Security_Guide-IPTables-IPTables_and_IPv6.html 
	sect-Security_Guide-IPTables-Saving_IPTables_Rules.html 
	sect-Security_Guide-IPTables.html 
	sect-Security_Guide-IPTables_Match_Options-Additional_Match_Option_Modules.html 
	sect-Security_Guide-IPTables_Match_Options-ICMP_Protocol.html 
	sect-Security_Guide-IPTables_Match_Options-UDP_Protocol.html 
	sect-Security_Guide-IPsec_Host_to_Host_Configuration-Manual_IPsec_Host_to_Host_Configuration.html 
	sect-Security_Guide-IPsec_Network_to_Network_Configuration-Manual_IPsec_Network_to_Network_Configuration.html 
	sect-Security_Guide-Kerberos-Additional_Resources.html 
	sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Client.html 
	sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Server.html 
	sect-Security_Guide-Kerberos-Domain_to_Realm_Mapping.html 
	sect-Security_Guide-Kerberos-How_Kerberos_Works.html 
	sect-Security_Guide-Kerberos-Kerberos_Terminology.html 
	sect-Security_Guide-Kerberos-Kerberos_and_PAM.html 
	sect-Security_Guide-Kerberos-Setting_Up_Cross_Realm_Authentication.html 
	sect-Security_Guide-Kerberos-Setting_Up_Secondary_KDCs.html 
	sect-Security_Guide-Kerberos.html 
	sect-Security_Guide-LUKS_Disk_Encryption-Links_of_Interest.html 
	sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-Step_by_Step_Instructions.html 
	sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-What_you_have_just_accomplished.html 
	sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories.html 
	sect-Security_Guide-LUKS_Disk_Encryption.html 
	sect-Security_Guide-Option_Fields-Access_Control.html 
	sect-Security_Guide-Option_Fields-Expansions.html 
	sect-Security_Guide-Option_Fields-Shell_Commands.html 
	sect-Security_Guide-PAM_Configuration_File_Format-Control_Flag.html 
	sect-Security_Guide-PAM_Configuration_File_Format-Module_Arguments.html 
	sect-Security_Guide-PAM_Configuration_File_Format-Module_Name.html 
	sect-Security_Guide-PAM_and_Administrative_Credential_Caching-Common_pam_timestamp_Directives.html 
	sect-Security_Guide-PAM_and_Device_Ownership-Application_Access.html 
	sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources.html 
	sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Creating_PAM_Modules.html 
	sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html 
	sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_Files.html 
	sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Administrative_Credential_Caching.html 
	sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership.html 
	sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Sample_PAM_Configuration_Files.html 
	sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html 
	sect-Security_Guide-Secure_Installation-Utilize_LUKS_Partition_Encryption.html 
	sect-Security_Guide-Securing_FTP-Anonymous_Access.html 
	sect-Security_Guide-Securing_FTP-Use_TCP_Wrappers_To_Control_Access.html 
	sect-Security_Guide-Securing_FTP-User_Accounts.html 
	sect-Security_Guide-Securing_NFS-Beware_of_Syntax_Errors.html 
	sect-Security_Guide-Securing_NFS-Do_Not_Use_the_no_root_squash_Option.html 
	sect-Security_Guide-Securing_NFS-NFS_Firewall_Configuration.html 
	sect-Security_Guide-Securing_NIS-Assign_Static_Ports_and_Use_iptables_Rules.html 
	sect-Security_Guide-Securing_NIS-Edit_the_varypsecurenets_File.html 
	sect-Security_Guide-Securing_NIS-Use_Kerberos_Authentication.html 
	sect-Security_Guide-Securing_NIS-Use_a_Password_like_NIS_Domain_Name_and_Hostname.html 
	sect-Security_Guide-Securing_Portmap-Protect_portmap_With_iptables.html 
	sect-Security_Guide-Securing_Sendmail-Mail_only_Users.html 
	sect-Security_Guide-Securing_Sendmail-NFS_and_Sendmail.html 
	sect-Security_Guide-Security_Updates.html 
	sect-Security_Guide-Server_Security-Securing_FTP.html 
	sect-Security_Guide-Server_Security-Securing_NFS.html 
	sect-Security_Guide-Server_Security-Securing_NIS.html 
	sect-Security_Guide-Server_Security-Securing_Portmap.html 
	sect-Security_Guide-Server_Security-Securing_Sendmail.html 
	sect-Security_Guide-Server_Security-Securing_the_Apache_HTTP_Server.html 
	sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening.html 
	sect-Security_Guide-Server_Security.html 
	sect-Security_Guide-Single_Sign_on_SSO-Configuring_Firefox_to_use_Kerberos_for_SSO.html 
	sect-Security_Guide-Single_Sign_on_SSO-Getting_Started_with_your_new_Smart_Card.html 
	sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Enrollment_Works.html 
	sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Login_Works.html 
	sect-Security_Guide-Single_Sign_on_SSO.html 
	sect-Security_Guide-Software_Maintenance-Install_Signed_Packages_from_Well_Known_Repositories.html 
	sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates-Adjusting_Automatic_Updates.html 
	sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates.html 
	sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html 
	sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html 
	sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html 
	sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd.html 
	sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html 
	sect-Security_Guide-TCP_Wrappers_and_xinetd.html 
	sect-Security_Guide-Threats_to_Server_Security-Inattentive_Administration.html 
	sect-Security_Guide-Threats_to_Server_Security-Inherently_Insecure_Services.html 
	sect-Security_Guide-Threats_to_Server_Security-Unpatched_Services.html 
	sect-Security_Guide-Threats_to_Workstation_and_Home_PC_Security-Vulnerable_Client_Applications.html 
	sect-Security_Guide-Updating_Packages-Applying_the_Changes.html 
	sect-Security_Guide-Updating_Packages-Installing_Signed_Packages.html 
	sect-Security_Guide-Updating_Packages-Verifying_Signed_Packages.html 
	sect-Security_Guide-Using_IPTables-Basic_Firewall_Policies.html 
	sect-Security_Guide-Using_IPTables-Saving_and_Restoring_IPTables_Rules.html 
	sect-Security_Guide-Virtual_Private_Networks_VPNs-Creating_an_IPsec_Connection.html 
	sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec.html 
	sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html 
	sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Installation.html 
	sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html 
	sect-Security_Guide-Virtual_Private_Networks_VPNs-Starting_and_Stopping_an_IPsec_Connection.html 
	sect-Security_Guide-Virtual_Private_Networks_VPNs-VPNs_and_PROD.html 
	sect-Security_Guide-Virtual_Private_Networks_VPNs.html 
	sect-Security_Guide-Vulnerability_Assessment-Defining_Assessment_and_Testing.html 
	sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html 
	sect-Security_Guide-Vulnerability_Assessment.html 
	sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html 
	sect-Security_Guide-xinetd_Configuration_Files-The_etcxinetd.d_Directory.html 
Log Message:
Add F12 security guide in es-ES and nl-NL

--- NEW FILE Security_Guide-Encryption-Data_in_Motion-Secure_Shell.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.6. Shell seguro (SSH, por las iniciales en inglÃ©s de Secure Shell)</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Encryption.html" title="CapÃtulo 3. EncriptaciÃ³n"/><link rel="prev" href="Security_Guide-Encryption-Data_in_Motion-Virtual_Private_Networks.html" title="3.5. Redes privadas virtuales (VPNs)"/><link rel="next" href="sect-Security_Guide-LUKS_Disk_Encryption.html" title="3.7. EncriptaciÃ³n de disco LUKS (Linux Unified Key Setup-on-disk-format)"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.
 fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="Security_Guide-Encryption-Data_in_Motion-Virtual_Private_Networks.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-LUKS_Disk_Encryption.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="3.6. Shell seguro (SSH, por las iniciales en inglÃ©s de Secure Shell)"><div class="titlepage"><div><div><h2 class="title" id="Security_Guide-Encryption-Data_in_Motion-Secure_Shell">3.6. Shell seguro (SSH, por las iniciales en inglÃ©s de Secure Shell)</h2></div></div></div><div class="para">
			Shell seguro (SSH) es un protocolo de red muy poderoso que se utiliza para comunicarse con otros sistemas operativos a travÃ©s de un canal seguro. Las transmisiones realizadas con SSH estÃ¡n encriptadas y protegidas de cualquier tipo de intercepciÃ³n. Pueden utilizarse tambiÃ©n registros de tipo criptogrÃ¡fico para proveer un mejor mÃ©todo de autenticaciÃ³n ademÃ¡s del tradicional nombre de usuario y contraseÃ±a.
		</div><div class="para">
			SSH es muy fÃ¡cil de activar. Simplemente iniciando el servicio SSH, el sistema comenzarÃ¡ a aceptar conexiones y les permitirÃ¡ acceder al sistema sÃ³lo a aquellas que, durante el proceso de conexiÃ³n, indiquen correctamente tanto un nombre de usuario como una contraseÃ±a. El TCP estÃ¡ndar para las conexiones SSH es 22, sin embargo esto puede cambiarse modificando el archivo de configuraciÃ³n <span class="emphasis"><em>/etc/ssh/sshd_config</em></span>, y reiniciando el servicio. Este archivo tambiÃ©n contiene otras opciones de configuraciÃ³n para SSH.
		</div><div class="para">
			SSH tambiÃ©n ofrece la posibilidad de tÃºneles encriptados entre computadoras, pero utilizando solamente un puerto. <a href="http://www.redhatmagazine.com/2007/11/27/advanced-ssh-configuration-and-tunneling-we-dont-need-no-stinking-vpn-software">El reenvÃo de puertos puede ser realizado sobre un tÃºnel SSH</a>, pero la utilizaciÃ³n del reenvÃo de puertos no es tan fluido como una VPN.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="Security_Guide-Encryption-Data_in_Motion-Virtual_Private_Networks.html"><strong>Anterior</strong>3.5. Redes privadas virtuales (VPNs)</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-LUKS_Disk_Encryption.html"><strong>Siguiente</strong>3.7. EncriptaciÃ³n de disco LUKS (Linux Unified Ke...</a></li></ul></body></html>

--- NEW FILE Security_Guide-Encryption-Data_in_Motion-Virtual_Private_Networks.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.5. Redes privadas virtuales (VPNs)</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Encryption.html" title="CapÃtulo 3. EncriptaciÃ³n"/><link rel="prev" href="Security_Guide-Encryption-Data_in_Motion.html" title="3.4. Datos en movimiento"/><link rel="next" href="Security_Guide-Encryption-Data_in_Motion-Secure_Shell.html" title="3.6. Shell seguro (SSH, por las iniciales en inglÃ©s de Secure Shell)"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_righ
 t.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="Security_Guide-Encryption-Data_in_Motion.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="Security_Guide-Encryption-Data_in_Motion-Secure_Shell.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="3.5. Redes privadas virtuales (VPNs)"><div class="titlepage"><div><div><h2 class="title" id="Security_Guide-Encryption-Data_in_Motion-Virtual_Private_Networks">3.5. Redes privadas virtuales (VPNs)</h2></div></div></div><div class="para">
			Las Redes Virtuales Privadas (VPNs, por las iniciales en inglÃ©s de Virtual Private Networks), proveen tÃºneles encriptados entre computadoras o redes de computadoras a lo largo de todos los puertos. Esto significa lÃ³gicamente que tanto el cliente como el servidor estÃ¡n conectados a la misma red a travÃ©s de VPN. Las VPNs son muy comunes, y muy fÃ¡ciles de configurar y de utilizar.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="Security_Guide-Encryption-Data_in_Motion.html"><strong>Anterior</strong>3.4. Datos en movimiento</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="Security_Guide-Encryption-Data_in_Motion-Secure_Shell.html"><strong>Siguiente</strong>3.6. Shell seguro (SSH, por las iniciales en ingl...</a></li></ul></body></html>

--- NEW FILE Security_Guide-Encryption-Data_in_Motion.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.4. Datos en movimiento</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Encryption.html" title="CapÃtulo 3. EncriptaciÃ³n"/><link rel="prev" href="Security_Guide-Encryption-Protecting_Data_at_Rest-File_Based_Encryption.html" title="3.3. EncriptaciÃ³n basada en archivo"/><link rel="next" href="Security_Guide-Encryption-Data_in_Motion-Virtual_Private_Networks.html" title="3.5. Redes privadas virtuales (VPNs)"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/
 image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="Security_Guide-Encryption-Protecting_Data_at_Rest-File_Based_Encryption.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="Security_Guide-Encryption-Data_in_Motion-Virtual_Private_Networks.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="3.4. Datos en movimiento"><div class="titlepage"><div><div><h2 class="title" id="Security_Guide-Encryption-Data_in_Motion">3.4. Datos en movimiento</h2></div></div></div><div class="para">
			Los datos en movimiento son datos que estÃ¡n siendo transmitidos en una red. La mayor amenaza a este tipo de datos son las intercepciones y alteraciones que puedan sufrir. Los datos de su nombre de usuario y contraseÃ±a nunca deberÃan ser transmitidos en una red sin que viajen protegidos, ya que podrÃan ser interceptados, y de este modo permitir que alguien se haga pasar por usted, o que pueda obtener acceso a informaciÃ³n importante. Otro tipo de informaciÃ³n privada, como son por ejemplo los datos de una cuenta bancaria, deberÃan tambiÃ©n ser protegidos cada vez que sean transmitidos a travÃ©s de una red. Si lo que se encripta es la sesiÃ³n entera de red iniciada, entonces no tiene que preocuparse acerca de posibles ataques a los datos que se transmitan en ella.
		</div><div class="para">
			Los datos en movimiento son particularmente vulnerables a los atacantes, ya que ellos no necesitan estar cerca de la computadora en donde estos datos son almacenados: simplemente necesitan estar en algÃºn punto del camino que esos datos estÃ¡n recorriendo. Los tÃºneles de encriptado pueden proteger los datos a lo largo del camino de las comunicaciones.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="Security_Guide-Encryption-Protecting_Data_at_Rest-File_Based_Encryption.html"><strong>Anterior</strong>3.3. EncriptaciÃ³n basada en archivo</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="Security_Guide-Encryption-Data_in_Motion-Virtual_Private_Networks.html"><strong>Siguiente</strong>3.5. Redes privadas virtuales (VPNs)</a></li></ul></body></html>

--- NEW FILE Security_Guide-Encryption-Protecting_Data_at_Rest-File_Based_Encryption.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.3. EncriptaciÃ³n basada en archivo</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Encryption.html" title="CapÃtulo 3. EncriptaciÃ³n"/><link rel="prev" href="sect-Security_Guide-Encryption-Protecting_Data_at_Rest-Full_Disk_Encryption.html" title="3.2. EncriptaciÃ³n completa del disco"/><link rel="next" href="Security_Guide-Encryption-Data_in_Motion.html" title="3.4. Datos en movimiento"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt
 ="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-Protecting_Data_at_Rest-Full_Disk_Encryption.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="Security_Guide-Encryption-Data_in_Motion.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="3.3. EncriptaciÃ³n basada en archivo"><div class="titlepage"><div><div><h2 class="title" id="Security_Guide-Encryption-Protecting_Data_at_Rest-File_Based_Encryption">3.3. EncriptaciÃ³n basada en archivo</h2></div></div></div><div class="para">
			GnuPG (GPG) es una versiÃ³n de cÃ³digo abierto de PGP, que le permite firmar y/o encriptar un archivo o mensaje de correo electrÃ³nico. Esto es Ãºtil para mantener la integridad del mensaje o del archivo, y tambiÃ©n protege la confidencialidad de la informaciÃ³n contenida. En el caso del correo electrÃ³nico, GPG brinda una protecciÃ³n doble. No solo puede proveer protecciÃ³n para los datos en reposo, sino tambiÃ©n para los datos en movimiento, luego que el mensaje ha sido enviado a travÃ©s de la red.
		</div><div class="para">
			El encriptado de archivos estÃ¡ orientado para proteger un archivo luego que Ã©ste haya abandonado su computadora, como cuando, por ejemplo, envÃa un CD a travÃ©s del correo postal. Algunas herramientas para encriptar archivos pueden dejar rastros de aquellos archivos que encriptan, rastros que podrÃan ser recuperados en algunas circunstancias por atacantes que tengan acceso fÃsico a su equipo. Para proteger de este tipo de ataques a los contenidos de los archivos, utilice la herramienta de encriptado de archivos combinada con alguna otra, como ser por ejemplo, el encriptado total del disco.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-Protecting_Data_at_Rest-Full_Disk_Encryption.html"><strong>Anterior</strong>3.2. EncriptaciÃ³n completa del disco</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="Security_Guide-Encryption-Data_in_Motion.html"><strong>Siguiente</strong>3.4. Datos en movimiento</a></li></ul></body></html>

--- NEW FILE We_Need_Feedback.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2. Â¡Necesitamos sus comentarios!</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="pref-Security_Guide-Preface.html" title="Prefacio"/><link rel="prev" href="pref-Security_Guide-Preface.html" title="Prefacio"/><link rel="next" href="chap-Security_Guide-Security_Overview.html" title="CapÃtulo 1. Repaso sobre seguridad"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href=
 "pref-Security_Guide-Preface.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-Security_Overview.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="section" title="2. Â¡Necesitamos sus comentarios!"><div class="titlepage"><div><div><h2 class="title" id="We_Need_Feedback">2. Â¡Necesitamos sus comentarios!</h2></div></div></div><div class="para">
		MÃ¡s informaciÃ³n acerca del proyecto GuÃa de Seguridad de Linux puede encontrarse en <a href="https://fedorahosted.org/securityguide">https://fedorahosted.org/securityguide</a>
	</div><div class="para">
		Para entregar una retroalimentaciÃ³n de la GuÃa de Seguridad, por favor envÃe un error a <a href="https://bugzilla.redhat.com/enter_bug.cgi?component=security-guide&product=Fedora%20Documentation">https://bugzilla.redhat.com/enter_bug.cgi?component=security-guide&product=Fedora%20Documentation</a>. Por favor seleccione el componente adecuado en el menÃº desplegable, que deberÃa ser el nombre de la pÃ¡gina.
	</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="pref-Security_Guide-Preface.html"><strong>Anterior</strong>Prefacio</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-Security_Overview.html"><strong>Siguiente</strong>CapÃtulo 1. Repaso sobre seguridad</a></li></ul></body></html>

--- NEW FILE chap-Security_Guide-Encryption.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>CapÃtulo 3. EncriptaciÃ³n</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="index.html" title="guÃa de seguridad"/><link rel="prev" href="sect-Security_Guide-Additional_Resources-Useful_IP_Tables_Websites.html" title="2.9.6.2. Sitios web Ãºtiles sobre IPTables"/><link rel="next" href="sect-Security_Guide-Encryption-Protecting_Data_at_Rest-Full_Disk_Encryption.html" title="3.2. EncriptaciÃ³n completa del disco"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" al
 t="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Useful_IP_Tables_Websites.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-Protecting_Data_at_Rest-Full_Disk_Encryption.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="chapter" title="CapÃtulo 3. EncriptaciÃ³n"><div class="titlepage"><div><div><h2 class="title" id="chap-Security_Guide-Encryption">CapÃtulo 3. EncriptaciÃ³n</h2></div></div></div><div class="toc"><dl><dt><span class="section"><a href="chap-Security_Guide-Encryption.html#sect-Security_Guide-Encryption-Data_at_Rest">3.1. Datos en reposo</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-Protecting_Data_at_Rest-Full_Disk_Encryption.html">3.2. EncriptaciÃ³n completa del disco</a></span></dt><dt><span class="section"><a href="Security_Guide-Encryption-Protecting_D
 ata_at_Rest-File_Based_Encryption.html">3.3. EncriptaciÃ³n basada en archivo</a></span></dt><dt><span class="section"><a href="Security_Guide-Encryption-Data_in_Motion.html">3.4. Datos en movimiento</a></span></dt><dt><span class="section"><a href="Security_Guide-Encryption-Data_in_Motion-Virtual_Private_Networks.html">3.5. Redes privadas virtuales (VPNs)</a></span></dt><dt><span class="section"><a href="Security_Guide-Encryption-Data_in_Motion-Secure_Shell.html">3.6. Shell seguro (SSH, por las iniciales en inglÃ©s de Secure Shell)</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-LUKS_Disk_Encryption.html">3.7. EncriptaciÃ³n de disco LUKS (Linux Unified Key Setup-on-disk-format)</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-LUKS_Disk_Encryption.html#sect-Security_Guide-LUKS_Disk_Encryption-LUKS_Implementation_in_Fedora">3.7.1. ImplementaciÃ³n de LUKS en Fedora</a></span></dt><dt><span class="section"><a href="sect-Security
 _Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories.html">3.7.2. EncriptaciÃ³n manual de directorios</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-Step_by_Step_Instructions.html">3.7.3. Instrucciones paso a paso</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-What_you_have_just_accomplished.html">3.7.4. Lo que acaba de realizar</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-LUKS_Disk_Encryption-Links_of_Interest.html">3.7.5. Enlaces de interÃ©s</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html">3.8. Archivos Encriptados 7-Zip</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html#sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation">3.8.1. Instala
 ciÃ³n de 7-Zip en Fedora</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation-Instructions.html">3.8.2. Instrucciones paso a paso para su instalaciÃ³n</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Usage_Instructions.html">3.8.3. Instrucciones paso a paso para su utilizaciÃ³n</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Things_of_note.html">3.8.4. Elementos para prestar atenciÃ³n</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Encryption-Using_GPG.html">3.9. Utilizando GNU Privacy Guard (GnuPG)</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Encryption-Using_GPG.html#sect-Security_Guide-Encryption-Using_GPG-Keys_in_GNOME">3.9.1. Crear claves GPG en GNOME</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encrypti
 on-Using_GPG-Creating_GPG_Keys_in_KDE1.html">3.9.2. Crear claves GPG en KDE</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE.html">3.9.3. Crear una clave GPG mediante la lÃnea de comandos</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-Using_GPG-About_Public_Key_Encryption.html">3.9.4. Acerca del encriptado de la clave pÃºblica</a></span></dt></dl></dd></dl></div><div class="para">
		Existen dos clases principales de datos que deben ser protegidos: datos en reposo y datos en movimiento. Estas clases de datos son protegidas en forma similar utilizando tecnologÃa similar, pero la forma en que se implementa esta protecciÃ³n puede ser completamente diferente en un caso y en otro. Por sÃ solo, ningÃºn modo de protecciÃ³n puede prevenir nuestro sistema de todos los posibles mÃ©todos en que puede llegar a ser daÃ±ado, ya que la misma informaciÃ³n puede estar en descanso y en movimiento en diferentes lugares y al mismo tiempo.
	</div><div class="section" title="3.1. Datos en reposo"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Encryption-Data_at_Rest">3.1. Datos en reposo</h2></div></div></div><div class="para">
			Los datos en reposo son los datos que se encuentran almacenados en un disco rÃgido, cinta, CD, DVD, o cualquier otro medio. La amenaza principal a este tipo de informaciÃ³n es la posibilidad de ser fÃsicamente robada. Laptops en los aeropuertos, CDs enviados a travÃ©s del correo postal, y cintas de respaldo que se dejan en los lugares equivocados, son todos ejemplos en los que los datos contenidos pueden ser accedidos mediante el robo. Si esos datos estuvieran encriptados en el dispositivo que los contiene, entonces no tendrÃa que preocuparse demasiado acerca de la posibilidad de que alguien mÃ¡s acceda a ellos.
		</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Useful_IP_Tables_Websites.html"><strong>Anterior</strong>2.9.6.2. Sitios web Ãºtiles sobre IPTables</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-Protecting_Data_at_Rest-Full_Disk_Encryption.html"><strong>Siguiente</strong>3.2. EncriptaciÃ³n completa del disco</a></li></ul></body></html>

--- NEW FILE chap-Security_Guide-General_Principles_of_Information_Security.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>CapÃtulo 4. Principios Generales sobre la Seguridad de la InformaciÃ³n</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="index.html" title="guÃa de seguridad"/><link rel="prev" href="sect-Security_Guide-Encryption-Using_GPG-About_Public_Key_Encryption.html" title="3.9.4. Acerca del encriptado de la clave pÃºblica"/><link rel="next" href="chap-Security_Guide-Secure_Installation.html" title="CapÃtulo 5. InstalaciÃ³n segura"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_
 right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-Using_GPG-About_Public_Key_Encryption.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-Secure_Installation.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="chapter" title="CapÃtulo 4. Principios Generales sobre la Seguridad de la InformaciÃ³n"><div class="titlepage"><div><div><h2 class="title" id="chap-Security_Guide-General_Principles_of_Information_Security">CapÃtulo 4. Principios Generales sobre la Seguridad de la InformaciÃ³n</h2></div></div></div><div class="toc"><dl><dt><span class="section"><a href="chap-Security_Guide-General_Principles_of_Information_Security.html#sect-Security_Guide-General_Principles_of_Information_Security-Tips_Guides_and_Tools">4.1. Consejos, GuÃas y Herramientas</a></span></dt></dl></div><div class="para">
		Los siguientes principios generales ofrecen una visiÃ³n panorÃ¡mica de algunas buenas actitudes para adoptar relacionadas con la seguridad:
	</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
				encriptar todos los datos transmitidos por la red para ayudar a prevenir ataques de tipo hombre-en-el-medio, o escuchas. Es importante encriptar de la informaciÃ³n de autenticaciÃ³n, como ser contraseÃ±as.
			</div></li><li class="listitem"><div class="para">
				minimice la cantidad de software instalado y de servicios en ejecuciÃ³n.
			</div></li><li class="listitem"><div class="para">
				utilice herramientas y software destinadas a mejorar la seguridad de su equipo. Por ejemplo, Security-Enhanced Linux (SELinux) para Control de Acceso Obligatorio (MAC, por las siglas en inglÃ©s de Mandatory Acces Control), Netfilter iptables para filtrar paquetes (cortafuegos), y la ProtecciÃ³n de Privacidad GNU (GnuPG, por las siglas en inglÃ©s de GNU Privacy Guard) para los archivos encriptados.
			</div></li><li class="listitem"><div class="para">
				si es posible, corra cada servicio de red en un servidor separado para minimizar el riesgo de que una debilidad en uno de los servicios, se utilice para comprometer a los demÃ¡s.
			</div></li><li class="listitem"><div class="para">
				mantenga las cuentas de usuario: genere y aplique una polÃtica firme de contraseÃ±as; borre las cuentas de usuarios que no son utilizadas.
			</div></li><li class="listitem"><div class="para">
				periÃ³dicamente consulte los archivos de registros del sistema y de las diferentes aplicaciones que utilice. Por defecto, los archivos de registros del sistema que sean pertinentes para la seguridad del equipo, son almacenados en <code class="filename">/var/log/secure</code> y <code class="filename">/var/log/audit/audit.log</code>. Nota: enviar archivos de registros hacia un servidor dedicado ayuda a prevenir que los atacantes puedan modificar fÃ¡cilmente los archivos de registros locales, y de este modo evitar ser detectados.
			</div></li><li class="listitem"><div class="para">
				nunca ingrese como root directamente, a menos de que sea absolutamente necesario. Los administradores deben usar <code class="command">sudo</code> para ejecutar comandos como root cuando sea necesario. Las cuentas capaces de usar <code class="command">sudo</code> se especifican en <code class="filename">/etc/sudoers</code>, que se edita con el utilitario <code class="command">visudo</code>.
			</div></li></ul></div><div class="section" title="4.1. Consejos, GuÃas y Herramientas"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-General_Principles_of_Information_Security-Tips_Guides_and_Tools">4.1. Consejos, GuÃas y Herramientas</h2></div></div></div><div class="para">
			La <a href="www.nsa.gov">Agencia de Seguridad Nacional</a> de los Estados Unidos de NorteamÃ©rica (NSA, por las siglas en inglÃ©s de National Security Agency), ofrece guÃas muy estrictas y consejos para numerosos sistemas operativos, para ayudar a las agencias gubernamentales, empresas e individuos a que prevengan los ataques a la seguridad de sus sistemas. Las siguientes guÃas (en formato PDF) proveen un tutorial para Red Hat Enterprise Linux 5:
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					<a href="http://www.nsa.gov/ia/_files/os/redhat/rhel5-pamphlet-i731.pdf">Consejos Reforzados para Red Hat Enterprise Linux 5</a>
				</div></li><li class="listitem"><div class="para">
					<a href="http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf">GuÃa para la ConfiguraciÃ³n Segura de Red Hat Enterprise Linux 5</a>
				</div></li></ul></div><div class="para">
			La <a href="http://www.disa.mil/">Agencia de Defensa de InformaciÃ³n de Sistemas (DISA, por las siglas en inglÃ©s de Defense Information Systems Agency)</a> ofrece documentaciÃ³n, evaluaciones, y listas con Ãtems a ser verificados, que le ayudarÃ¡n a asegurar su sistema (<a href="http://iase.disa.mil/index2.html">Soporte para un Entorno Seguro de la InformaciÃ³n</a>). La <a href="http://iase.disa.mil/stigs/stig/unix-stig-v5r1.pdf">GUIA DE IMPLEMENTACION TECNICA DE SEGURIDAD UNIX</a> (PDF) es una guÃa muy especÃfica para la seguridad en sistemas UNIX - antes de leerla, se recomienda poseer un conocimiento avanzado tanto de UNIX como de Linux.
		</div><div class="para">
			La <a href="http://iase.disa.mil/stigs/checklist/unix_checklist_v5r1-16_20090215.ZIP">Lista de Items a verificarse para la Seguridad de UNIX Version 5, Release 1.16</a> de DISA ofrece diferentes documentos y listas de verificaciÃ³n, abarcando aspectos que van desde el correcto establecimiento de la pertenencia de los archivos del sistema, hasta el control de parches.
		</div><div class="para">
			Al mismo tiempo, DISA ha puesto a disposiciÃ³n diferentes <a href="http://iase.disa.mil/stigs/SRR/unix.html">programas de UNIX SPR</a> que permiten a los administradores verificar configuraciones especÃficas en sus sistemas. Estos programas ofrecen reportes en formato XML, en los que muestran todas las configuraciones vulnerables conocidas.
		</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-Using_GPG-About_Public_Key_Encryption.html"><strong>Anterior</strong>3.9.4. Acerca del encriptado de la clave pÃºblica</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-Secure_Installation.html"><strong>Siguiente</strong>CapÃtulo 5. InstalaciÃ³n segura</a></li></ul></body></html>

--- NEW FILE chap-Security_Guide-References.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>CapÃtulo 7. Referencias</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="index.html" title="guÃa de seguridad"/><link rel="prev" href="sect-Security_Guide-Software_Maintenance-Install_Signed_Packages_from_Well_Known_Repositories.html" title="6.4. Instale paquetes identificados desde repositorios conocidos"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Secur
 ity_Guide-Software_Maintenance-Install_Signed_Packages_from_Well_Known_Repositories.html"><strong>Anterior</strong></a></li><li class="next"/></ul><div xml:lang="es-ES" class="chapter" title="CapÃtulo 7. Referencias"><div class="titlepage"><div><div><h2 class="title" id="chap-Security_Guide-References">CapÃtulo 7. Referencias</h2></div></div></div><div class="para">
		Las siguientes referencias tienen como objetivo orientar la bÃºsqueda de informaciÃ³n adicional relacionada con SELinux y Fedora pero estÃ¡n mÃ¡s allÃ¡ del alcance de esta guÃa. Tenga en cuenta que debido al veloz desarrollo de SELinux, algunos de estos materiales podrÃan utilizarse sÃ³lo en versiones especÃficas de Fedora.
	</div><div class="variablelist" title="Libros" id="vari-Security_Guide-References-Books"><h6>Libros</h6><dl><dt><span class="term">SELinux en Ejemplos</span></dt><dd><div class="para">
					Mayer, MacMillan y Caplan
				</div><div class="para">
					Prentice Hall, 2007
				</div></dd></dl></div><div class="variablelist" title="Tutoriales y asistencia" id="vari-Security_Guide-References-Tutorials_and_Help"><h6>Tutoriales y asistencia</h6><dl><dt><span class="term">Entendiendo y personalizando la polÃtica de SELinux para HTTP de Apache</span></dt><dd><div class="para">
					<a href="http://fedora.redhat.com/docs/selinux-apache-fc3/">http://fedora.redhat.com/docs/selinux-apache-fc3/</a>
				</div></dd><dt><span class="term">Tutoriales y charlas de Russell Coker</span></dt><dd><div class="para">
					<a href="http://www.coker.com.au/selinux/talks/ibmtu-2004/">http://www.coker.com.au/selinux/talks/ibmtu-2004/</a>
				</div></dd><dt><span class="term">Tutorial genÃ©rico para escritura de PolÃticas de SELinux</span></dt><dd><div class="para">
					<a href="http://www.lurking-grue.org/writingselinuxpolicyHOWTO.html">http://www.lurking-grue.org/writingselinuxpolicyHOWTO.html</a>
				</div></dd><dt><span class="term">Base de Conocimientos de Red Hat</span></dt><dd><div class="para">
					<a href="http://kbase.redhat.com/">http://kbase.redhat.com/</a>
				</div></dd></dl></div><div class="variablelist" title="InformaciÃ³n general" id="vari-Security_Guide-References-General_Information"><h6>InformaciÃ³n general</h6><dl><dt><span class="term">Sitio web principal de SELinux de la NSA</span></dt><dd><div class="para">
					<a href="http://www.nsa.gov/research/selinux/index.shtml">http://www.nsa.gov/selinux/</a>
				</div></dd><dt><span class="term">NSA SELinux FAQ</span></dt><dd><div class="para">
					<a href="http://www.nsa.gov/research/selinux/faqs.shtml">http://www.nsa.gov/selinux/info/faq.cfm</a>
				</div></dd><dt><span class="term">Fedora SELinux FAQ </span></dt><dd><div class="para">
					<a href="http://fedora.redhat.com/docs/selinux-faq-fc3/">http://fedora.redhat.com/docs/selinux-faq-fc3/</a>
				</div></dd><dt><span class="term">Linux de seguridad mejorada de cÃ³digo abierto de la NSA</span></dt><dd><div class="para">
					<a href="http://www.oreilly.com/catalog/selinux/">http://www.oreilly.com/catalog/selinux/</a>
				</div></dd></dl></div><div class="variablelist" title="TecnologÃa" id="vari-Security_Guide-References-Technology"><h6>TecnologÃa</h6><dl><dt><span class="term">Un repaso de las clases de objetos y permisos</span></dt><dd><div class="para">
					<a href="http://www.tresys.com/selinux/obj_perms_help.html">http://www.tresys.com/selinux/obj_perms_help.html</a>
				</div></dd><dt><span class="term">IntegraciÃ³n del soporte flexible para las PolÃticas de Seguridad dentro del Sistema Operativo Linux (una historia de la implementaciÃ³n de Flask en Linux)</span></dt><dd><div class="para">
					<a href="http://www.nsa.gov/research/_files/selinux/papers/selsymp2005.pdf">http://www.nsa.gov/research/_files/selinux/papers/selsymp2005.pdf</a>
				</div></dd><dt><span class="term">ImplemenetaciÃ³n de SELinux como un mÃ³dulo de seguridad de linux</span></dt><dd><div class="para">
					<a href="http://www.nsa.gov/research/_files/publications/implementing_selinux.pdf">http://www.nsa.gov/research/_files/publications/implementing_selinux.pdf</a>
				</div></dd><dt><span class="term">Una ConfiguraciÃ³n de PolÃtica de Seguridad para el Linux de Seguridad Mejorada</span></dt><dd><div class="para">
					<a href="http://www.nsa.gov/research/_files/selinux/papers/policy/policy.shtml">http://www.nsa.gov/research/_files/selinux/papers/policy/policy.shtml</a>
				</div></dd></dl></div><div class="variablelist" title="Comunidad" id="vari-Security_Guide-References-Community"><h6>Comunidad</h6><dl><dt><span class="term">GuÃa del Usuario de SELinux de Fedora</span></dt><dd><div class="para">
					<a href="http://docs.fedoraproject.org/selinux-user-guide/">http://docs.fedoraproject.org/selinux-user-guide/</a>
				</div></dd><dt><span class="term">Fedora SELinux Managing Confined Services Guide</span></dt><dd><div class="para">
					<a href="http://docs.fedoraproject.org/selinux-managing-confined-services-guide/">http://docs.fedoraproject.org/selinux-managing-confined-services-guide/</a>
				</div></dd><dt><span class="term">PÃ¡gina comunitaria de SELinux</span></dt><dd><div class="para">
					<a href="http://selinux.sourceforge.net">http://selinux.sourceforge.net</a>
				</div></dd><dt><span class="term">IRC</span></dt><dd><div class="para">
					irc.freenode.net, #selinux, #fedora-selinux, #security
				</div></dd></dl></div><div class="variablelist" title="Historia" id="vari-Security_Guide-References-History"><h6>Historia</h6><dl><dt><span class="term">Historia breve de Flask</span></dt><dd><div class="para">
					<a href="http://www.cs.utah.edu/flux/fluke/html/flask.html">http://www.cs.utah.edu/flux/fluke/html/flask.html</a>
				</div></dd><dt><span class="term">Antecedentes completos sobre Fluke</span></dt><dd><div class="para">
					<a href="http://www.cs.utah.edu/flux/fluke/html/index.html">http://www.cs.utah.edu/flux/fluke/html/index.html</a>
				</div></dd></dl></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Software_Maintenance-Install_Signed_Packages_from_Well_Known_Repositories.html"><strong>Anterior</strong>6.4. Instale paquetes identificados desde reposit...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li></ul></body></html>

--- NEW FILE chap-Security_Guide-Secure_Installation.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>CapÃtulo 5. InstalaciÃ³n segura</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="index.html" title="guÃa de seguridad"/><link rel="prev" href="chap-Security_Guide-General_Principles_of_Information_Security.html" title="CapÃtulo 4. Principios Generales sobre la Seguridad de la InformaciÃ³n"/><link rel="next" href="sect-Security_Guide-Secure_Installation-Utilize_LUKS_Partition_Encryption.html" title="5.2. Utilice encriptado de particiones mediante LUKS"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img sr
 c="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-General_Principles_of_Information_Security.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Secure_Installation-Utilize_LUKS_Partition_Encryption.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="chapter" title="CapÃtulo 5. InstalaciÃ³n segura"><div class="titlepage"><div><div><h2 class="title" id="chap-Security_Guide-Secure_Installation">CapÃtulo 5. InstalaciÃ³n segura</h2></div></div></div><div class="toc"><dl><dt><span class="section"><a href="chap-Security_Guide-Secure_Installation.html#sect-Security_Guide-Secure_Installation-Disk_Partitions">5.1. Particiones del disco</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Secure_Installation-Utilize_LUKS_Partition_Encryption.html">5.2. Utilice encriptado de particiones med
 iante LUKS</a></span></dt></dl></div><div class="para">
		La seguridad comienza con la primera vez que introduce un CD o DVD para instalar Fedora. Configurar su sistema en forma segura desde un principio, hace que sea mÃ¡s fÃ¡cil implementar configuraciones de seguridad adicional mÃ¡s adelante.
	</div><div class="section" title="5.1. Particiones del disco"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Secure_Installation-Disk_Partitions">5.1. Particiones del disco</h2></div></div></div><div class="para">
			La NSA recomienda crear particiones separadas para /boot, /, /home, /tmp y /var/tmp. Las razones son diferentes y se tratarÃ¡ por separado para cada particiÃ³n.
		</div><div class="para">
			/boot - Esta particiÃ³n es la primera particiÃ³n que se lee durante el arranque. El cargador de arranque y las imÃ¡genes del kernel que se usan para arrancar su sistema Fedora se almacenan en esta particiÃ³n. Esta particiÃ³n no debe ser encriptada. Si esta particiÃ³n se incluye en / y la misma es encriptada o de alguna forma se vuelve no disponible, entonces su sistema no podrÃ¡ arrancar.
		</div><div class="para">
			/home - Cuando los datos del usuario (/home) se almacenan en / en vez de una particiÃ³n separada, la particiÃ³n se puede llenar haciendo que el sistema operativo se vuelva inestable. TambiÃ©n, cuando se actualice su sistema a la siguiente versiÃ³n de Fedora, poder mantener sus datos en una particiÃ³n /home hace que el proceso sea mucho mÃ¡s sencillo, dado que no serÃ¡ sobrescrita durante la instalaciÃ³n. Si la particiÃ³n raÃz (/) se corrompe, sus datos se perderÃ¡n para siempre. Usando una particiÃ³n separada hay un poco mÃ¡s de protecciÃ³n contra la pÃ©rdida de datos. TambiÃ©n se puede elegir esa particiÃ³n para los respaldos frecuentes.
		</div><div class="para">
			/tmp y /var/tmp - Ambos directorios /tmp y the /var/tmp se usan para almacenar datos que no se necesitan guardar por mucho tiempo. Sin embargo, si un montÃ³n de datos inundan uno de estos directorios, puede consumir todo el espacio libre. Si esto pasa y estos directorios se almacenan en /, entonces su sistema se puede volver inestable y colgarse. Por esta razÃ³n, mover estos directorios a sus propias particiones es una buena idea.
		</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-General_Principles_of_Information_Security.html"><strong>Anterior</strong>CapÃtulo 4. Principios Generales sobre la Segurid...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Secure_Installation-Utilize_LUKS_Partition_Encryption.html"><strong>Siguiente</strong>5.2. Utilice encriptado de particiones mediante L...</a></li></ul></body></html>

--- NEW FILE chap-Security_Guide-Securing_Your_Network.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>CapÃtulo 2. Asegurando su Red</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="index.html" title="guÃa de seguridad"/><link rel="prev" href="sect-Security_Guide-Updating_Packages-Applying_the_Changes.html" title="1.5.4. AplicaciÃ³n de los cambios"/><link rel="next" href="sect-Security_Guide-Server_Security.html" title="2.2. Seguridad del servidor"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="p
 revious"><a accesskey="p" href="sect-Security_Guide-Updating_Packages-Applying_the_Changes.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="chapter" title="CapÃtulo 2. Asegurando su Red"><div class="titlepage"><div><div><h2 class="title" id="chap-Security_Guide-Securing_Your_Network">CapÃtulo 2. Asegurando su Red</h2></div></div></div><div class="toc"><dl><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security">2.1. Seguridad de la estaciÃ³n de trabajo</a></span></dt><dd><dl><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Evaluating_Workstation_Security">2.1.1. EvaluaciÃ³n de la seguridad de la estaciÃ³n de trabajo</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Securing_Y
 our_Network.html#sect-Security_Guide-Workstation_Security-BIOS_and_Boot_Loader_Security">2.1.2. Seguridad en el BIOS y en el gestor de arranque</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Password_Security">2.1.3. Seguridad de contraseÃ±as</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Administrative_Controls">2.1.4. Controles administrativos</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Available_Network_Services">2.1.5. Servicios de red disponibles</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Personal_Firewalls">2.1.6. Cortafuegos personales</a></span></dt><dt><span class="section"><a href="chap-Security_Guide
 -Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Security_Enhanced_Communication_Tools">2.1.7. Herramientas de comunicaciÃ³n de seguridad mejorada</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Server_Security.html">2.2. Seguridad del servidor</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Server_Security.html#sect-Security_Guide-Server_Security-Securing_Services_With_TCP_Wrappers_and_xinetd">2.2.1. Asegurando los servicios con encapsuladores TCP y xinetd</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Securing_Portmap.html">2.2.2. Asegurando Portmap</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Securing_NIS.html">2.2.3. Asegurando NIS</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Securing_NFS.html">2.2.4. Asegurando NFS</a></span></dt><dt><span class="section"><a href="sect-S
 ecurity_Guide-Server_Security-Securing_the_Apache_HTTP_Server.html">2.2.5. Asegurando el servidor HTTP Apache</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Securing_FTP.html">2.2.6. Asegurando FTP</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Securing_Sendmail.html">2.2.7. Asegurando Sendmail</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening.html">2.2.8. Verificar quÃ© puertos estÃ¡n abiertos</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Single_Sign_on_SSO.html">2.3. IdentificaciÃ³n Ãºnica (SSO, por las iniciales en inglÃ©s de Single Sign-on)</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Single_Sign_on_SSO.html#sect-Security_Guide-Single_Sign_on_SSO-Introduction">2.3.1. IntroducciÃ³n</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Single_S
 ign_on_SSO-Getting_Started_with_your_new_Smart_Card.html">2.3.2. Empezar a utilizar su nueva tarjeta inteligente</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Enrollment_Works.html">2.3.3. Como funciona la inscripciÃ³n de las tarjetas inteligentes.</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Login_Works.html">2.3.4. CÃ³mo funciona el ingreso con tarjeta inteligente</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Single_Sign_on_SSO-Configuring_Firefox_to_use_Kerberos_for_SSO.html">2.3.5. Configurar Firefox para la utilizaciÃ³n de Kerberos como SSO</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html">2.4. MÃ³dulos de autenticaciÃ³n conectables (PAM, por las iniciales en inglÃ©s de Pluggable Authentication Modules)</a></span></dt><dd><dl><dt><span class="section"><a href=
 "sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html#sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Advantages_of_PAM">2.4.1. Ventajas de PAM</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_Files.html">2.4.2. Archivos de configuraciÃ³n de PAM</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html">2.4.3. Formato del archivo de configuraciÃ³n de PAM</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Sample_PAM_Configuration_Files.html">2.4.4. Ejemplos de archivos de configuraciÃ³n de PAM</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Creating_PAM_Modules.html">2.4.5. CreaciÃ³n de los mÃ³dulos PAM</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authen
 tication_Modules_PAM-PAM_and_Administrative_Credential_Caching.html">2.4.6. PAM y el cacheo de la credencial administrativa</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership.html">2.4.7. PAM y la propiedad de los dispositivos</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources.html">2.4.8. Recursos adicionales</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html">2.5. Encapsuladores TCP y xinetd</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html#sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers">2.5.1. Encapsuladores TCP</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html">2.5.2. Archivos de configuraciÃ³n de los encapsulado
 res TCP</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd.html">2.5.3. xinetd</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html">2.5.4. Archivos de configuraciÃ³n de xinetd</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html">2.5.5. Recursos adicionales</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Kerberos.html">2.6. Kerberos</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Kerberos.html#sect-Security_Guide-Kerberos-What_is_Kerberos">2.6.1. Â¿QuÃ© es Kerberos?</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Kerberos_Terminology.html">2.6.2. TerminologÃa de Kerberos</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-How_Kerberos_Works.html">2.6.3. Como Funciona K
 erberos</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Kerberos_and_PAM.html">2.6.4. Kerberos y PAM</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Server.html">2.6.5. Configurando un servidor Kerberos 5</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Client.html">2.6.6. ConfiguraciÃ³n de un Cliente Kerberos 5</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Domain_to_Realm_Mapping.html">2.6.7. Mapeo dominio-a-reinado</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Setting_Up_Secondary_KDCs.html">2.6.8. Configurando KDCs secundarios</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Setting_Up_Cross_Realm_Authentication.html">2.6.9. Configurando la autenticaciÃ³n cruzada de reinados</a></span></dt><dt><span class="section"><a href="sect-Security_
 Guide-Kerberos-Additional_Resources.html">2.6.10. Recursos adicionales</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html">2.7. Redes privadas virtuales (VPNs, por las iniciales en inglÃ©s de Virtual Private Networks)</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html#sect-Security_Guide-Virtual_Private_Networks_VPNs-How_Does_a_VPN_Work">2.7.1. Â¿CÃ³mo funciona una VPN?</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-VPNs_and_PROD.html">2.7.2. VPNs y Fedora</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec.html">2.7.3. IPsec</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Creating_an_IPsec_Connection.html">2.7.4. Creando una conexiÃ³n <abbr class="abbrev">IPsec</abbr></a></span></dt><dt><span c
 lass="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Installation.html">2.7.5. InstalaciÃ³n de IPsec</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html">2.7.6. ConfiguraciÃ³n de IPsec equipo-a-equipo</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html">2.7.7. ConfiguraciÃ³n IPsec red-a-red</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Starting_and_Stopping_an_IPsec_Connection.html">2.7.8. Iniciar y detener una conexiÃ³n <abbr class="abbrev">IPsec</abbr></a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Firewalls.html">2.8. Cortafuegos</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Firewalls.html#sect-Security_Guide-Firewalls-Netfilter_and_IPTables">2.8.1. Netf
 ilter e IPTables</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html">2.8.2. ConfiguraciÃ³n bÃ¡sica de un cortafuego</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-Using_IPTables.html">2.8.3. Uso de IPTables</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-Common_IPTables_Filtering.html">2.8.4. Filtrado comÃºn de IPTables</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html">2.8.5. Reglas <code class="computeroutput">FORWARD</code> y <acronym class="acronym">NAT</acronym></a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-Malicious_Software_and_Spoofed_IP_Addresses.html">2.8.6. Software malicioso y suplantaciÃ³n de direcciones IP </a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-IPTables_and_Connection_Tracking.html">2.8.7. IPTables y el s
 eguimiento de la conexiÃ³n</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-IPv6.html">2.8.8. IPv6</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-Additional_Resources.html">2.8.9. Recursos adicionales</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-IPTables.html">2.9. IPTables</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-IPTables.html#sect-Security_Guide-IPTables-Packet_Filtering">2.9.1. Filtrado de Paquete</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html">2.9.2. Opciones de la lÃnea de comandos de IPTables</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-IPTables-Saving_IPTables_Rules.html">2.9.3. Guardando las reglas de IPTalbes</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-IPTables-IPTables_Control_Scripts.html">2.9.4. Programas de contr
 ol de IPTables</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-IPTables-IPTables_and_IPv6.html">2.9.5. IPTables e IPv6</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-IPTables-Additional_Resources.html">2.9.6. Recursos adicionales</a></span></dt></dl></dd></dl></div><div xml:lang="es-ES" class="section" title="2.1. Seguridad de la estaciÃ³n de trabajo"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Workstation_Security">2.1. Seguridad de la estaciÃ³n de trabajo</h2></div></div></div><div class="para">
		Asegurar un entorno Linux comienza con la estaciÃ³n de trabajo. Ya sea bloqueando una mÃ¡quina personal, o asegurando un sistema corporativo, cualquier polÃtica de seguridad empieza con la computadora individual. La seguridad de una red de computadoras es la misma que la de su nodo mÃ¡s dÃ©bil.
	</div><div class="section" title="2.1.1. EvaluaciÃ³n de la seguridad de la estaciÃ³n de trabajo"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Workstation_Security-Evaluating_Workstation_Security">2.1.1. EvaluaciÃ³n de la seguridad de la estaciÃ³n de trabajo</h3></div></div></div><div class="para">
			Cuando se evalÃºa la seguridad de una estaciÃ³n de trabajo Fedora, considere los siguientes aspectos:
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					<span class="emphasis"><em>Seguridad del BIOS y del gestor de arranque</em></span> â€” Â¿Puede un usuario no autorizado tener acceso a la mÃ¡quina e iniciarla como usuario Ãºnico, o en modo de rescate, sin ninguna contraseÃ±a?
				</div></li><li class="listitem"><div class="para">
					<span class="emphasis"><em>Seguridad de la contraseÃ±a</em></span> â€” Â¿QuÃ© tan seguras son las contraseÃ±as de usuario en la mÃ¡quina?
				</div></li><li class="listitem"><div class="para">
					<span class="emphasis"><em>Controles administrativos</em></span> â€” Â¿QuiÃ©n posee una cuenta en el sistema y cuÃ¡nto control administrativo posee?
				</div></li><li class="listitem"><div class="para">
					<span class="emphasis"><em>Servicios de red disponibles</em></span> â€” Â¿QuÃ© servicios estÃ¡n escuchando peticiones activas de la red? Â¿DeberÃan estar ejecutÃ¡ndose?
				</div></li><li class="listitem"><div class="para">
					<span class="emphasis"><em>Cortafuegos personals</em></span> â€” En caso de necesitarse alguno, Â¿quÃ© tipo de cortafuegos son necesarios?
				</div></li><li class="listitem"><div class="para">
					<span class="emphasis"><em>Herramientas de seguridad en la comunicaciÃ³n mejoradas</em></span> â€” Â¿QuÃ© herramientas deberÃan utilizarse para comunicarse entre estaciones de trabajo, y cuÃ¡les deberÃan evitarse?
				</div></li></ul></div></div><div class="section" title="2.1.2. Seguridad en el BIOS y en el gestor de arranque"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Workstation_Security-BIOS_and_Boot_Loader_Security">2.1.2. Seguridad en el BIOS y en el gestor de arranque</h3></div></div></div><div class="para">
			Una protecciÃ³n del BIOS (o de su equivalente) y del gestor de arranque mediante una contraseÃ±a, puede prevenir que el sistema sea iniciado mediante la utilizaciÃ³n de medios removibles, o que se obtengan privilegios de usuario root, por cualquier usuario no autorizado que tenga acceso fÃsico al Ã©l. Las medidas de seguridad que deberÃa adoptar para protegerse de este tipo de ataques depende tanto de la calidad de la informaciÃ³n de la estaciÃ³n de trabajo, como de la ubicaciÃ³n de la mÃ¡quina.
		</div><div class="para">
			Por ejemplo, si una mÃ¡quina es utilizada en algÃºn tipo de evento, y no contiene ninguna clase de informaciÃ³n importante, entonces no serÃa prioritario prevenir tales ataques. Sin embargo, si la laptop de algÃºn empleado con claves SSH privadas y no encriptadas de la red de la compaÃ±Ãa es descuidada en el mismo evento anterior, podrÃa permitir una falla importante en la seguridad, con consecuencias para la compaÃ±Ãa entera.
		</div><div class="para">
			Por otro lado, si la estaciÃ³n de trabajo se encuentra ubicada en un lugar al cuÃ¡l tienen acceso solo personas autorizadas o de confianza, en ese caso asegurar el BIOS o el gestor de arranque podrÃa no ser necesario.
		</div><div class="section" title="2.1.2.1. ContraseÃ±a BIOS"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-BIOS_and_Boot_Loader_Security-BIOS_Passwords">2.1.2.1. ContraseÃ±a BIOS</h4></div></div></div><div class="para">
				Las dos razones fundamentales para proteger con una contraseÃ±a el BIOS de una computadora son <sup>[<a id="d0e1504" href="#ftn.d0e1504" class="footnote">11</a>]</sup>:
			</div><div class="orderedlist"><ol><li class="listitem"><div class="para">
						<span class="emphasis"><em>Evitar modificaciones a la configuraciÃ³n del BIOS</em></span> â€” Si un intruso tiene acceso al BIOS, puede configurarlo para iniciarse desde un diskette o CD-ROM. Esto hace que sea posible para Ã©l ingresar en modo rescate o en modo de Ãºnico usuario, lo que a su vez permite que inicie procesos a elecciÃ³n en el sistema, o que pueda copiar informaciÃ³n importante.
					</div></li><li class="listitem"><div class="para">
						<span class="emphasis"><em>Evitar el inicio del sistema</em></span> â€” Algunas BIOS permiten protecciÃ³n mediante contraseÃ±as del proceso de arranque. Cuando es activado, el atacante se ve obligado a ingresar una contraseÃ±a antes que el BIOS ejecute el gestor de arranque.
					</div></li></ol></div><div class="para">
				Debido a que los mÃ©todos para establecer una contraseÃ±a de BIOS son diferentes de acuerdo a cada fabricante, consulte el manual de la computadora para instrucciones especÃficas.
			</div><div class="para">
				Si no recuerda la contraseÃ±a del BIOS, puede ser reseteada o bien mediante jumpers en la placa madre, o bien desconectando la baterÃa del CMOS. Por esta razÃ³n, es una buena costumbre bloquear el gabinete de la computadora siempre que sea posible. Sin embargo, consulte el manual de la computadora o de la placa madre antes de intentar desconectar la baterÃa del CMOS.
			</div><div class="section" title="2.1.2.1.1. Asegurando plataformas que no sean de tipo x86"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-BIOS_Passwords-Securing_Non_x86_Platforms">2.1.2.1.1. Asegurando plataformas que no sean de tipo x86</h5></div></div></div><div class="para">
					Otras arquitecturas utilizan diferentes programas para realizar tareas de bajo nivel, apenas equivalentes a las que realiza el BIOS en sistemas x86. Por ejemplo, las computadoras <span class="trademark">Intel</span>Â® <span class="trademark">Itanium</span>â„¢ utilizan el shell <em class="firstterm">Interfaz de firmware extensible</em> (<em class="firstterm">EFI</em>, por las iniciales en inglÃ©s de Extensible Firmware Interface).
				</div><div class="para">
					Para instrucciones acerca de la protecciÃ³n mediante contraseÃ±as de programas similares al BIOS, consulte las instrucciones del fabricante.
				</div></div></div><div class="section" title="2.1.2.2. ContraseÃ±as del gestor de arranque"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-BIOS_and_Boot_Loader_Security-Boot_Loader_Passwords">2.1.2.2. ContraseÃ±as del gestor de arranque</h4></div></div></div><div class="para">
				Las principales razones por las que proteger un gestor de arranque de Linux son las siguientes:
			</div><div class="orderedlist"><ol><li class="listitem"><div class="para">
						<span class="emphasis"><em>Prevenir el ingreso en modo de Ãºnico usuario</em></span> â€” Si los atacantes pueden iniciar el sistema en modo de usuario Ãºnico, automÃ¡ticamente se registran como usuarios root sin que para ello se les solicite una contraseÃ±a de usuario root.
					</div></li><li class="listitem"><div class="para">
						<span class="emphasis"><em>Prevenir el acceso a la consola del GRUB</em></span> â€” Si la mÃ¡quina en cuestiÃ³n utiliza el GRUB como su gestor de arranque, un atacante puede utilizar la interfaz del editor del GRUB para modificar sus configuraciones, o para reunir informaciÃ³n utilizando el comando <code class="command">cat</code>.
					</div></li><li class="listitem"><div class="para">
						<span class="emphasis"><em>Prevenir el acceso a sistemas operativos no seguros</em></span> â€” Si el sistema en cuestiÃ³n es de arranque dual, un atacante puede seleccionar uno de los sistemas en el momento del inicio (por ejemplo, DOS), que ignora controles de acceso y permisos de archivo.
					</div></li></ol></div><div class="para">
				Fedora por defecto instala el gestor de arranque GRUB en la plataforma x86. Para una exposiciÃ³n detallada del GRUB, consulte la GuÃa de InstalaciÃ³n de Fedora.
			</div><div class="section" title="2.1.2.2.1. ProtecciÃ³n de GRUB con contraseÃ±a"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Boot_Loader_Passwords-Password_Protecting_GRUB">2.1.2.2.1. ProtecciÃ³n de GRUB con contraseÃ±a</h5></div></div></div><div class="para">
					Puede configurar el GRUB para prevenir los dos primeros problemas descritos en la <a class="xref" href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-BIOS_and_Boot_Loader_Security-Boot_Loader_Passwords" title="2.1.2.2. ContraseÃ±as del gestor de arranque">SecciÃ³nÂ 2.1.2.2, â€œContraseÃ±as del gestor de arranqueâ€</a>, aÃ±adiendo una directiva de contraseÃ±a a su archivo de configuraciÃ³n. Para hacerlo, primero elija una contraseÃ±a poderosa, abra una terminal, regÃstrese como usuario root, e ingrese el siguiente comando:
				</div><pre class="screen"><code class="command">/sbin/grub-md5-crypt</code>
</pre><div class="para">
					Cuando se le solicite, ingrese la contraseÃ±a del GRUB y presione la tecla <span class="keycap"><strong>Intro</strong></span>. Con esto obtendrÃ¡ un hash MD5 de la contraseÃ±a.
				</div><div class="para">
					A continuaciÃ³n, edite el archivo de configuraciÃ³n del GRUB <code class="filename">/boot/grub/grub.conf</code>. Abra el archivo y debajo de la lÃnea <code class="command">timeout</code> en la secciÃ³n principal del documento, aÃ±ada la siguiente:
				</div><pre class="screen"><code class="command">password --md5 <em class="replaceable"><code><hash-de-contraseÃ±a></code></em></code>
</pre><div class="para">
					Reemplace <em class="replaceable"><code><hash-de-contraseÃ±a></code></em> con el valor obtenido por el comando <code class="command">/sbin/grub-md5-crypt</code><sup>[<a id="d0e1610" href="#ftn.d0e1610" class="footnote">12</a>]</sup>.
				</div><div class="para">
					La prÃ³xima vez que el sistema sea iniciado, el menÃº del GRUB evitarÃ¡ que se ingrese al editor, o a la interfaz de comandos, sin haber presionado primero la tecla <span class="keycap"><strong>p</strong></span>, seguida de la contraseÃ±a del GRUB
				</div><div class="para">
					Desafortunadamente, esta soluciÃ³n no previene que un atacante inicie el equipo con un sistema operativo no seguro, si es que existe un entorno de arranque dual. Para esto, debe ser editada una parte diferente del archivo <code class="filename">/boot/grub/grub.conf</code>.
				</div><div class="para">
					Ubique la lÃnea <code class="computeroutput">title</code> del sistema operativo que desea asegurar, y aÃ±ada otra lÃnea con la directiva <code class="command">lock</code> inmediatamente debajo de ella.
				</div><div class="para">
					Para un sistema DOS, el bloque de lÃneas pertinente deberÃa empezar de manera similar a la siguiente:
				</div><pre class="screen"><code class="computeroutput">title DOS lock</code>
</pre><div class="warning"><h2>Advertencia</h2><div class="para">
						Una lÃnea <code class="computeroutput">password</code> debe estar presente en la secciÃ³n principal del archivo <code class="filename">/boot/grub/grub.conf</code> para el correcto funcionamiento de este mÃ©todo. De lo contrario, un atacante puede acceder a la interfaz del editor del GRUB y eliminar la lÃnea de bloqueo.
					</div></div><div class="para">
					Para crear una contraseÃ±a diferente para un kernel particular o sistema operativo, aÃ±ada la lÃnea <code class="command">lock</code> a las presentes seguida de una lÃnea de contraseÃ±a.
				</div><div class="para">
					Cada porciÃ³n de lÃneas protegidas con una contraseÃ±a Ãºnica deberÃan empezar de manera similar al siguiente ejemplo:
				</div><pre class="screen"><code class="computeroutput">title DOS lock password --md5 <em class="replaceable"><code><password-hash></code></em></code>
</pre></div></div></div><div class="section" title="2.1.3. Seguridad de contraseÃ±as"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Workstation_Security-Password_Security">2.1.3. Seguridad de contraseÃ±as</h3></div></div></div><div class="para">
			Las contraseÃ±as son el mÃ©todo primario que Fedora utiliza para verificar la identidad de los usuarios. Este es el motivo por el que la seguridad de la contraseÃ±a es tan importante para la protecciÃ³n del usuario, la estaciÃ³n de trabajo y la red.
		</div><div class="para">
			Por motivos de seguridad, el programa de instalaciÃ³n configura el sistema para utilizar <em class="firstterm">Message-Digest Algorithm</em> (<span class="emphasis"><em>MD5</em></span>) y ocultar las contraseÃ±as. Es muy recomendable que no modifique estas configuraciones.
		</div><div class="para">
			Si las contraseÃ±as MD5 son deseleccionadas durante la instalaciÃ³n, el antiguo formato <em class="firstterm">Data Encryption Standard</em> (<em class="firstterm"><acronym class="acronym">DES</acronym></em>) es utilizado. Este formato limita las contraseÃ±a a ocho caracteres alfanumÃ©ricos (deshabilitando los signos de puntuaciÃ³n y otros caracteres especiales), y proveyendo un modesto nivel de encriptado de 56 bits.
		</div><div class="para">
			Si durante la instalaciÃ³n se deselecciona el ocultamiento de contraseÃ±as, todas las contraseÃ±as son almacenadas en un hash unidireccional en el archivo de lectura pÃºblica <code class="filename">/etc/passwd</code>, lo que hace que el sistema sea vulnerable a los ataques de descubrimiento de contraseÃ±as fuera de lÃnea. Si un intruso puede obtener acceso a la mÃ¡quina como un usuario regular, puede copiar el archivo <code class="filename">/etc/passwd</code> a su propio equipo, y ejecutar cualquier cantidad de programas de descubrimiento de contraseÃ±as sobre Ã©l. Si existe una contraseÃ±a no segura en el archivo, es sÃ³lo cuestiÃ³n de tiempo antes que el atacante la encuentre.
		</div><div class="para">
			El ocultamiento de contraseÃ±as elimina este tipo de ataques almacenando el hash de contraseÃ±a en el archivo <code class="filename">/etc/shadow</code>, que solo puede ser leÃdo por el usuario root.
		</div><div class="para">
			Esto obliga a los potenciales atacantes a intentar descubrir las contraseÃ±as remotamente, registrÃ¡ndose en un servicio de red en la mÃ¡quina, como por ejemplo SSH o FTP. Esta clase de ataque de tipo fuerza bruta es mucho mÃ¡s lento y deja un rastro obvio, consistente en los cientos de intentos fallidos de registro almacenados en los archivos del sistema. Por supuesto, si el atacante inicia un ataque en medio de la noche en un sistema con contraseÃ±as dÃ©biles, podrÃa obtener acceso antes del amanecer y editar los archivos de registro para eliminar sus huellas.
		</div><div class="para">
			AdemÃ¡s del las cuestiones acerca del formato y del almacenamiento, estÃ¡ el problema de los contenidos. La Ãºnica cosa realmente importante que un usuario puede hacer para proteger su cuenta de ataques para descubrir su contraseÃ±a, es crear una contraseÃ±a poderosa.
		</div><div class="section" title="2.1.3.1. Creando contraseÃ±as poderosas"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Password_Security-Creating_Strong_Passwords">2.1.3.1. Creando contraseÃ±as poderosas</h4></div></div></div><div class="para">
				Para crear una contraseÃ±a segura, es una buena idea seguir las siguientes indicaciones:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<span class="emphasis"><em>No utilice solo palabras o nÃºmeros</em></span> â€” Nunca utilice solo nÃºmeros o palabras en contraseÃ±as.
					</div><div class="para">
						Algunos ejemplos inseguros incluyen los siguientes:
					</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
								8675309
							</div></li><li class="listitem"><div class="para">
								juan
							</div></li><li class="listitem"><div class="para">
								hackeame
							</div></li></ul></div></li><li class="listitem"><div class="para">
						<span class="emphasis"><em>No use palabras reconocibles</em></span> â€” Palabras como nombres propios, palabras de diccionario, o incluso tÃ©rminos de shows de televisiÃ³n, o de novelas, deberÃan ser evitados. AÃºn si estÃ¡n complementadas con nÃºmeros.
					</div><div class="para">
						Algunos ejemplos inseguros incluyen los siguientes:
					</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
								martin1
							</div></li><li class="listitem"><div class="para">
								DS-9
							</div></li><li class="listitem"><div class="para">
								tevez123
							</div></li></ul></div></li><li class="listitem"><div class="para">
						<span class="emphasis"><em>No utilice palabras de otros idiomas</em></span> â€” Los programas de descubrimiento de contraseÃ±as a menudo verifican sobre listas de palabras que incluyen diccionarios de muchos idiomas. Confiar en idiomas extranjeros para establecer contraseÃ±as seguras, no es algo aconsejable.
					</div><div class="para">
						Algunos ejemplos inseguros incluyen los siguientes:
					</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
								cheguevara
							</div></li><li class="listitem"><div class="para">
								bienvenido1
							</div></li><li class="listitem"><div class="para">
								1dumbKopf
							</div></li></ul></div></li><li class="listitem"><div class="para">
						<span class="emphasis"><em>No utilice terminologÃa hacker</em></span> â€” Si usted piensa que es intocable porque utiliza terminologÃa hacker â€” tambiÃ©n denominada lengua l337 (LEET) â€” en su contraseÃ±a, piÃ©nselo dos veces, Muchas listas de palabras incluyen lengua LEET.
					</div><div class="para">
						Algunos ejemplos inseguros incluyen los siguientes:
					</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
								H4X0R
							</div></li><li class="listitem"><div class="para">
								1337
							</div></li></ul></div></li><li class="listitem"><div class="para">
						<span class="emphasis"><em>No use InformaciÃ³n Personal</em></span> â€” Evite usar cualquier tipo de informaciÃ³n personal en sus contraseÃ±as. Si el atacante conoce su identidad, la tarea de deducir su contraseÃ±a se vuelve mÃ¡s fÃ¡cil. La siguiente es una lista de los tipos de informaciÃ³n a evitar cuando se crea una contraseÃ±a:
					</div><div class="para">
						Algunos ejemplos inseguros incluyen los siguientes:
					</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
								Su nombre
							</div></li><li class="listitem"><div class="para">
								El nombre de su mascota
							</div></li><li class="listitem"><div class="para">
								El nombre de un miembro de la familia
							</div></li><li class="listitem"><div class="para">
								Cualquier fecha de cumpleaÃ±os
							</div></li><li class="listitem"><div class="para">
								Su nÃºmero de telÃ©fono o su cÃ³digo postal
							</div></li></ul></div></li><li class="listitem"><div class="para">
						<span class="emphasis"><em>No invierta palabras reconocibles</em></span> â€” Los buenos verificadores de contraseÃ±a siempre invierten palabras comunes, por lo que la inversiÃ³n de un mala contraseÃ±a no la hace mÃ¡s segura.
					</div><div class="para">
						Algunos ejemplos inseguros incluyen los siguientes:
					</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
								R0X4H
							</div></li><li class="listitem"><div class="para">
								nauj
							</div></li><li class="listitem"><div class="para">
								9-DS
							</div></li></ul></div></li><li class="listitem"><div class="para">
						<span class="emphasis"><em>No escriba su contraseÃ±a</em></span> â€” Nunca guarde su contraseÃ±a en papel. Es mÃ¡s seguro memorizarla.
					</div></li><li class="listitem"><div class="para">
						<span class="emphasis"><em>No use la misma contraseÃ±a para todas las computadoras</em></span> â€” es importante crear contraseÃ±as distintas para cada mÃ¡quina. De esta forma, si un sistema estÃ¡ comprometido, todas sus computadoras no estarÃ¡n inmediatamente en riesgo.
					</div></li></ul></div><div class="para">
				Los siguientes consejos le ayudarÃ¡n a crear una contraseÃ±a fuerte:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<span class="emphasis"><em>La contraseÃ±a debe tener al menos 8 caracteres de largo</em></span> â€” Cuanto mÃ¡s larga la contraseÃ±a, mejor. Si usa contraseÃ±as MD5, deben ser de 15 caracteres o mÃ¡s. Con contraseÃ±as DES, use la longitud mÃ¡xima (ocho caracteres).
					</div></li><li class="listitem"><div class="para">
						<span class="emphasis"><em>Mezcle letras en mayÃºsculas y minÃºsculas</em></span> â€” Fedora diferencia entre mayÃºsculas y minÃºsculas, por lo que su mezcla mejora la fortaleza de la contraseÃ±a.
					</div></li><li class="listitem"><div class="para">
						<span class="emphasis"><em>Mezcle letras con nÃºmeros</em></span> â€” Agregar nÃºmeros a la contraseÃ±a mejora la fortaleza de la misma, especialmente cuando se los agrega en el medio (no al principio ni al final).
					</div></li><li class="listitem"><div class="para">
						<span class="emphasis"><em>Incluya caracteres no alfanumÃ©ricos</em></span> â€” Caracteres especiales como &, $, y > pueden mejorar mucho la fortaleza de la contraseÃ±a (esto no es posible cuando se utilicen contraseÃ±as DES).
					</div></li><li class="listitem"><div class="para">
						<span class="emphasis"><em>Elija una contraseÃ±a que pueda recordar</em></span> â€” La mejor contraseÃ±a del mundo no mejora nada si no la puede recordar; use siglas u otros dispositivos memotÃ©cnicos para ayudarle a recordar las contraseÃ±as.
					</div></li></ul></div><div class="para">
				Con todas estas reglas, puede parecer difÃcil crear una contraseÃ±a que cumpla al mismo tiempo con todos los criterios pedidos para una buena contraseÃ±a, y que evite la creaciÃ³n de una mala. Afortunadamente, hay algunos pasos que se pueden tomar para generar una contraseÃ±a segura y fÃ¡cil de recordar.
			</div><div class="section" title="2.1.3.1.1. MetodologÃa para la creaciÃ³n de una contraseÃ±a segura"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Creating_Strong_Passwords-Secure_Password_Creation_Methodology">2.1.3.1.1. MetodologÃa para la creaciÃ³n de una contraseÃ±a segura</h5></div></div></div><div class="para">
					Hay muchos mÃ©todos que se pueden usar para crear contraseÃ±as seguras. Uno de los mÃ¡s populares involucra las siglas. Por ejemplo:
				</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
							Piense en una frase fÃ¡cil de recordar, tal como:
						</div><div class="para">
							"por el rÃo y a travÃ©s del bosque, vamos a la casa de la abuela."
						</div></li><li class="listitem"><div class="para">
							Luego, conviÃ©rtala en una sigla (incluyendo la puntuaciÃ³n).
						</div><div class="para">
							<strong class="userinput"><code>peryatdb,valcdla.</code></strong>
						</div></li><li class="listitem"><div class="para">
							Agregue complejidad sustituyendo nÃºmeros y sÃmbolos por letras en la sigla. Por ejemplo, sustituya <strong class="userinput"><code>7</code></strong> por <strong class="userinput"><code>t</code></strong> el arroba (<strong class="userinput"><code>@</code></strong>) por <strong class="userinput"><code>a</code></strong>:
						</div><div class="para">
							<strong class="userinput"><code>pery at 7db,v at lcdl@.</code></strong>
						</div></li><li class="listitem"><div class="para">
							Agregue mÃ¡s complejidad poniendo en mayÃºsculas al menos una letra, tal como la <strong class="userinput"><code>B</code></strong>.
						</div><div class="para">
							<strong class="userinput"><code>pery at 7dB,v at lcdl@.</code></strong>
						</div></li><li class="listitem"><div class="para">
							<span class="emphasis"><em>Finalmente, no use nunca la contraseÃ±a ejemplo anterior para ningÃºn sistema</em></span>.
						</div></li></ul></div><div class="para">
					La creaciÃ³n de contraseÃ±as seguras es imperativo, y su apropiada administraciÃ³n es igual de importante, especialmente para administradores de sistemas dentro de organizaciones grandes. La siguiente secciÃ³n detalla las buenas prÃ¡cticas para crear y administrar las contraseÃ±as de los usuarios dentro de una organizaciÃ³n.
				</div></div></div><div class="section" title="2.1.3.2. CreaciÃ³n de contraseÃ±as de usuarios dentro de una organizaciÃ³n"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Password_Security-Creating_User_Passwords_Within_an_Organization">2.1.3.2. CreaciÃ³n de contraseÃ±as de usuarios dentro de una organizaciÃ³n</h4></div></div></div><div class="para">
				Si una organizaciÃ³n tiene un gran nÃºmero de usuarios, los administradores de sistema tienen dos opciones bÃ¡sicas disponibles para obligar al uso de contraseÃ±as buenas. Pueden crear contraseÃ±as para los usuarios, o permitirles crear sus propias contraseÃ±as, pero verificando que sean de una calidad aceptable.
			</div><div class="para">
				La creaciÃ³n de contraseÃ±as para usuarios asegura que las contraseÃ±as sean buenas, pero se vuelve una tarea intimidante a medida que la organizaciÃ³n crece. TambiÃ©n aumenta el riesgo de que los usuarios escriban sus contraseÃ±as.
			</div><div class="para">
				Por estas razones, la mayorÃa de los administradores de sistema prefieren que sus usuarios creen sus propias contraseÃ±as, pero verificar activamente que sean buenas y, en algunos casos, forzarlos a cambiarlas periÃ³dicamente mediante el establecimiento de un perÃodo determinado de validez.
			</div><div class="section" title="2.1.3.2.1. Obligando a usar contraseÃ±as poderosas"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Creating_User_Passwords_Within_an_Organization-Forcing_Strong_Passwords">2.1.3.2.1. Obligando a usar contraseÃ±as poderosas</h5></div></div></div><div class="para">
					Para proteger la red de intrusos, es una buena idea que los administradores del sistema comprueben que las contraseÃ±as utilizadas dentro de una organizaciÃ³n sean buenas y potentes. Cuando se les pida a los usuarios crear o modificar una contraseÃ±a, pueden utilizar la herramienta de lÃnea de comando <code class="command">passwd</code>, que es compatible con el <em class="firstterm">Administrador de mÃ³dulos de autenticaciÃ³n conectables</em> (<em class="firstterm">PAM</em>, por las iniciales en inglÃ©s de Pluggable Authentication Manager), y por lo tanto verifica si la contraseÃ±a es demasiado corta o demasaido fÃ¡cil de descubrir. Esta comprobaciÃ³n es realizada utilizando el mÃ³dulo PAM <code class="filename">pam_cracklib.so</code>. Ya que PAM es personalizable, es posible aÃ±adir mÃ¡s verificadores de la integridad de las contraseÃ±as, como ser por ejemplo, <code class="filename">pam_passwdqc</code> (disponible en <a href="http://www.openwall.com/passwdqc/">http://
 www.openwall.com/passwdqc/</a>), o escribir un mÃ³dulo nuevo. Para conocer una lista de mÃ³dulos PAM disponibles, vea <a href="http://www.kernel.org/pub/linux/libs/pam/modules.html">http://www.kernel.org/pub/linux/libs/pam/modules.html</a>. Para obtener mayor informaciÃ³n acerca de PAM, vaya a la <a class="xref" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. MÃ³dulos de autenticaciÃ³n conectables (PAM, por las iniciales en inglÃ©s de Pluggable Authentication Modules)">SecciÃ³nÂ 2.4, â€œMÃ³dulos de autenticaciÃ³n conectables (PAM, por las iniciales en inglÃ©s de Pluggable Authentication Modules)â€</a>.
				</div><div class="para">
					La verificaciÃ³n de la contraseÃ±a que se realiza al momento de su creaciÃ³n, no permite saber con tanta certeza si una contraseÃ±a es dÃ©bil, cosa que sÃ se puede verificar exactamente con la ejecuciÃ³n sobre ellas de un programa de descubrimiento de contraseÃ±as.
				</div><div class="para">
					Muchos programas de descubrimiento de contraseÃ±as estÃ¡n disponibles para ejecutarse en Fedora, aunque ninguno viene con el sistema operativo. A continuaciÃ³n ofrecemos una pequeÃ±a lista con algunos de los programas de descubrimiento de contraseÃ±as mÃ¡s populares:
				</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
							<span class="emphasis"><em><span class="application"><strong>John The Ripper</strong></span></em></span> â€” Un programa de descubrimiento de contraseÃ±a rÃ¡pido y flexible. Permite el uso de mÃºltiples listas de palabras y puede descubrir contraseÃ±as por fuerza bruta. EstÃ¡ disponible en lÃnea en <a href="http://www.openwall.com/john/">http://www.openwall.com/john/</a>.
						</div></li><li class="listitem"><div class="para">
							<span class="emphasis"><em><span class="application"><strong>Crack</strong></span></em></span> â€” Perhaps the most well known password cracking software, <span class="application"><strong>Crack</strong></span> is also very fast, though not as easy to use as <span class="application"><strong>John The Ripper</strong></span>. It can be found online at <a href="http://www.crypticide.com/alecm/security/crack/c50-faq.html">http://www.crypticide.com/alecm/security/crack/c50-faq.html</a>.
						</div></li><li class="listitem"><div class="para">
							<span class="emphasis"><em><span class="application"><strong>Slurpie</strong></span></em></span> â€” <span class="application"><strong>Slurpie</strong></span> es similar a <span class="application"><strong>John The Ripper</strong></span> y a <span class="application"><strong>Crack</strong></span>, pero se diseÃ±Ã³ para correr en varias computadoras a la vez, creando un ataque de descubrimiento de contraseÃ±as distribuido. Se puede encontrar junto con un nÃºmero de otras herramientas de evaluaciÃ³n de seguridad al ataque distribuÃdo, en lÃnea en <a href="http://www.ussrback.com/distributed.htm">http://www.ussrback.com/distributed.htm</a>.
						</div></li></ul></div><div class="warning"><h2>Advertencia</h2><div class="para">
						Siempre obtenga una autorizaciÃ³n por escrito antes de intentar descubrir contraseÃ±as dentro de una organizaciÃ³n
					</div></div></div><div class="section" title="2.1.3.2.2. Frases de acceso"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Passphrases">2.1.3.2.2. Frases de acceso</h5></div></div></div><div class="para">
					Passphrases and passwords are the cornerstone to security in most of today's systems. Unfortunately, techniques such as biometrics and two-factor authentication have not yet become mainstream in many systems. If passwords are going to be used to secure a system, then the use of passphrases should be considered. Passphrases are longer than passwords and provide better protection than a password even when implemented with non-standard characters such as numbers and symbols.
				</div></div><div class="section" title="2.1.3.2.3. Edad de las contraseÃ±as"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Creating_User_Passwords_Within_an_Organization-Password_Aging">2.1.3.2.3. Edad de las contraseÃ±as</h5></div></div></div><div class="para">
					El envejecimiento de las claves es otra tÃ©cnica usada por los administradores del sistema para defenderlo de malas contraseÃ±as dentro de una organizaciÃ³n. El envejecimiento de la contraseÃ±a significa que despuÃ©s de un perÃodo especificado (normalmente 90 dÃas), el usuario debe crear una nueva contraseÃ±a. La idea detrÃ¡s de este mÃ©todo es que si el usuario es forzado a cambiar su contraseÃ±a periÃ³dicamente, una contraseÃ±a descubierta serÃa Ãºtil para un intruso por un tiempo limitado. La contra del envejecimiento es que los usuarios, seguramente, anotarÃ¡n en un papel sus contraseÃ±as.
				</div><div class="para">
					Hay dos programas principales usados para especificar el envejecimiento de contraseÃ±as bajo Fedora: el comando <code class="command">chage</code> o la aplicaciÃ³n grÃ¡fica <span class="application"><strong>AdministraciÃ³n -> Usuarios y Grupos</strong></span> (<code class="command">system-config-users</code>).
				</div><div class="para">
					La opciÃ³n <code class="option">-M</code> del comando <code class="command">chage</code> especifica el nÃºmero mÃ¡ximo de dÃas en los cuales serÃ¡ vÃ¡lida la contraseÃ±a. Por ejemplo, para poner la contraseÃ±a del usuario para que venza en 90 dÃas, use el siguiente comando:
				</div><pre class="screen"><code class="command">chage -M 90 <em class="replaceable"><code><nombre-de-usuario></code></em></code>
</pre><div class="para">
					En el comando de arriba, reemplace <em class="replaceable"><code><nombre-de-usuario></code></em> con el nombre del usuario. Para deshabilitar el vencimiento de la contraseÃ±a, es tradicional usar el valor <code class="command">99999</code> espuÃ©s de la opciÃ³n <code class="option">-M</code> (esto es cerca de 273 aÃ±os).
				</div><div class="para">
					TambiÃ©n puede usar el comando <code class="command">chage</code> en modo interactivo para modificar el envejecimiento de varias contraseÃ±as y detalles de cuenta. Use el siguiente comando para ingresar en modo interactivo:
				</div><pre class="screen"><code class="command">chage <em class="replaceable"><code><nombre-de-usuario></code></em></code>
</pre><div class="para">
					El siguiente es un ejemplo de la sesiÃ³n interactiva usando este comando:
				</div><pre class="screen">[root at myServer ~]# chage davido 
Changing the aging information for davido 
Enter the new value, or press ENTER for the default 
Minimum Password Age [0]: 10
Maximum Password Age [99999]: 90 
Last Password Change (YYYY-MM-DD) [2006-08-18]: 
Password Expiration Warning [7]: 
Password Inactive [-1]: 
Account Expiration Date (YYYY-MM-DD) [1969-12-31]: 
[root at myServer ~]#
</pre><div class="para">
					Vaya a la pÃ¡gina man de chage para mÃ¡s informaciÃ³n sobre las opciones disponibles.
				</div><div class="para">
					TambiÃ©n se puede usar la aplicaciÃ³n <span class="application"><strong>Usuarios y Grupos</strong></span> para crear polÃticas de envejecimiento de contraseÃ±as, como sigue. Nota: necesita los privilegios de administrador para realizar este procedimiento.
				</div><div class="procedure"><ol class="1"><li class="step" title="Paso 1"><div class="para">
							Haga clic en el menÃº <span class="guimenu"><strong>Sistema</strong></span> en el panel, apunte al menÃº <span class="guisubmenu"><strong>AdministraciÃ³n</strong></span> y luego haga clic en <span class="guimenuitem"><strong>Usuarios y Grupos</strong></span> para mostrar el Aministrador de Usuarios. Alternativamente, teclee el comando <code class="command">system-config-users</code> en un indicador de shell.
						</div></li><li class="step" title="Paso 2"><div class="para">
							Haga clic en la pestaÃ±a <span class="guilabel"><strong>Usuarios</strong></span> y seleccione el usuario requerido de la lista de usuarios.
						</div></li><li class="step" title="Paso 3"><div class="para">
							Haga clic en <span class="guibutton"><strong>Propiedades</strong></span> en la barra de herramientas para mostrar el cuadro de diÃ¡logo de las Propiedades del Usuario (o elija <span class="guimenuitem"><strong>Propiedades</strong></span> en el menÃº <span class="guimenu"><strong>Archivo</strong></span>).
						</div></li><li class="step" title="Paso 4"><div class="para">
							Haga clic en la pestaÃ±a <span class="guilabel"><strong>InformaciÃ³n de la ContraseÃ±a</strong></span>, y seleccione la casilla de <span class="guilabel"><strong>Activar expiraciÃ³n de contraseÃ±a</strong></span>.
						</div></li><li class="step" title="Paso 5"><div class="para">
							Ingrese el valor requerido en el campo <span class="guilabel"><strong>DÃas requeridos antes de cambiar</strong></span> y haga clic en <span class="guibutton"><strong>Aceptar</strong></span>.
						</div></li></ol></div><div class="figure" id="figu-Security_Guide-Password_Aging-Specifying_password_aging_options"><div class="figure-contents"><div class="mediaobject"><img src="images/fed-user_pass_info.png" alt="EspecificaciÃ³n de las opciones de edad de las contraseÃ±as"/><div class="longdesc"><div class="para">
								IlustraciÃ³n del panel <span class="guilabel"><strong>InformaciÃ³n de la ContraseÃ±a</strong></span>.
							</div></div></div></div><h6>Figura 2.1. EspecificaciÃ³n de las opciones de edad de las contraseÃ±as</h6></div><br class="figure-break"/></div></div></div><div class="section" title="2.1.4. Controles administrativos"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Workstation_Security-Administrative_Controls">2.1.4. Controles administrativos</h3></div></div></div><div class="para">
			Cuando se administra una mÃ¡quina personal, el usuario debe realizar algunas tareas como usuario root, o mediante la adquisisciÃ³n de privilegios de usuario root, a travÃ©s de un programa de tipo <em class="firstterm">setuid</em>, como lo son por ejemplo <code class="command">sudo</code> o <code class="command">su</code>. Se denomina un programa de tipo setuid a aquel que opera con el ID de usuario (<span class="emphasis"><em>UID</em></span>) del dueÃ±o del programa, en lugar del ID de usuario de quien sea que estÃ© utilizando el programa. Tales programas son identificados con una <code class="computeroutput">s</code> en la secciÃ³n de pertenencia del listado de formato extenso, como se muestra en el siguiente ejemplo:
		</div><pre class="screen"><code class="computeroutput">-rwsr-xr-x 1 root root 47324 May 1 08:09 /bin/su</code>
</pre><div class="note"><h2>Nota</h2><div class="para">
				La <code class="computeroutput">s</code> puede figurar en mayÃºscula o en minÃºscula. Si aparece en mayÃºscula, significa que el bit de los permisos subyacentes no ha sido definido.
			</div></div><div class="para">
			Sin embargo, para el administrador del sistema de una organizaciÃ³n, las elecciones deben ser realizadas tomando en cuenta el tipo de acceso adminsitrativo que los usuarios dentro de la organizaciÃ³n deberÃan tener a su mÃ¡quina. A travÃ©s del mÃ³dulo PAM denominado <code class="filename">pam_console.so</code>, algunas actividades normalmente reservadas solo para el usuario root, como ser reiniciar o montar medios removibles, son permitidas para el primer usuario que se registre en la consola fÃsica (para obtener mayor informaciÃ³n acerca del mÃ³dulo <code class="filename">pam_console.so</code>, vaya a la <a class="xref" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. MÃ³dulos de autenticaciÃ³n conectables (PAM, por las iniciales en inglÃ©s de Pluggable Authentication Modules)">SecciÃ³nÂ 2.4, â€œMÃ³dulos de autenticaciÃ³n conectables (PAM, por las iniciales en inglÃ©s de Pluggable Authentication Modules)â€</a>. Sin embargo, otras tareas 
 importantes en el sistema, como ser modificar parÃ¡metros de red, configurar un nuevo ratÃ³n, o montar dispositivos de red, no serÃ¡ posible realizarlas sin privilegios administrativos. Como resultado, los administradores del sistema deben decidir cuÃ¡nto acceso deben otorgarle a los usuarios de la red.
		</div><div class="section" title="2.1.4.1. Permitiendo accesos root"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Administrative_Controls-Allowing_Root_Access">2.1.4.1. Permitiendo accesos root</h4></div></div></div><div class="para">
				Si los usuarios de una organizaciÃ³n son confiables y conocen acerca de computadoras, permitirles acceso root no deberÃa ser un problema. Esto significa que actividades menores, como aÃ±adir dispositivos o configurar interfases de red podrÃan ser realizadas por los usuarios individuales, quedando los administradores del sistema liberados y poder realizar tareas mÃ¡s importantes relacionadas, por ejemplo, con la red o con la seguridad.
			</div><div class="para">
				Por otro lado, darle accesos de root a usuarios individuales podrÃa generar los siguientes inconvenientes:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<span class="emphasis"><em>ConfiguraciÃ³n errÃ³nea del equipo</em></span> â€” Los usuarios con acceso root pueden desconfigurar sus mÃ¡quinas y necesitar asistencia para resolver problemas. O peor aÃºn, podrÃan abrir agujeros en la seguridad del sistema sin saberlo.
					</div></li><li class="listitem"><div class="para">
						<span class="emphasis"><em>Ejecutar servicios no seguros</em></span> â€” Usuarios con acceso root podrÃan ejecutar servidores no seguros en su mÃ¡quina, como por ejemplo Telnet o FTP, poniendo en riesgo en forma potencial nombres de usuarios o contraseÃ±as. Estos servicios transmiten la informaciÃ³n sobre la red en formato de texto simple.
					</div></li><li class="listitem"><div class="para">
						<span class="emphasis"><em>Ejecutar archivos adjuntos de correos como usuarios root</em></span> â€” Si bien son excepcionales, existen virus de correo electrÃ³nico que afectan a los sistemas Linux. Sin embargo, el Ãºnico momento en que se convierten en una amenaza, es cuando son ejecutados por el usuario root.
					</div></li></ul></div></div><div class="section" title="2.1.4.2. AnulaciÃ³n del acceso como root"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Administrative_Controls-Disallowing_Root_Access">2.1.4.2. AnulaciÃ³n del acceso como root</h4></div></div></div><div class="para">
				Si un administrador no se encuentra cÃ³modo al permitir que los usuarios se registren como usuarios root por estas razones, o por otras, la contraseÃ±a de usuario root deberÃa ser mantenida en secreto, y el acceso al nivel de ejecuciÃ³n 1, o al modo de usuario Ãºnico, deberÃa ser desactivado mediante una protecciÃ³n del gestor de arranque a travÃ©s de una contraseÃ±a (para obtener mayor informaciÃ³n en este aspecto, vea la <a class="xref" href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-BIOS_and_Boot_Loader_Security-Boot_Loader_Passwords" title="2.1.2.2. ContraseÃ±as del gestor de arranque">SecciÃ³nÂ 2.1.2.2, â€œContraseÃ±as del gestor de arranqueâ€</a>).
			</div><div class="para">
				<a class="xref" href="chap-Security_Guide-Securing_Your_Network.html#tabl-Security_Guide-Disallowing_Root_Access-Methods_of_Disabling_the_Root_Account" title="Tabla 2.1. MÃ©todos para deshabilitar la cuenta root">TablaÂ 2.1, â€œMÃ©todos para deshabilitar la cuenta rootâ€</a> : describe las formas en que un administrador puede asegurarse que no sean permitidos los ingresos como root:
			</div><div class="table" id="tabl-Security_Guide-Disallowing_Root_Access-Methods_of_Disabling_the_Root_Account"><div class="table-contents"><table summary="MÃ©todos para deshabilitar la cuenta root" border="1"><colgroup><col width="20*"/><col width="50*"/><col width="50*"/><col width="50*"/></colgroup><thead><tr><th>
								MÃ©todo
							</th><th>
								DescripciÃ³n
							</th><th>
								Efectos
							</th><th>
								No afecta
							</th></tr></thead><tbody><tr><td>
								Cambio del shell para root.
							</td><td>
								Edite el archivo <code class="filename">/etc/passwd</code> y cambie la terminal de <code class="command">/bin/bash</code> a <code class="command">/sbin/nologin</code>.
							</td><td>
								<table border="0" summary="Simple list" class="simplelist"><tr><td>Previene acceso a la terminal root y registra cualquiera de tales intentos. </td></tr><tr><td>Los siguientes programas estÃ¡n prevenidos al intentar ingresar a la cuenta de usuario root: </td></tr><tr><td>Â· <code class="command">login</code></td></tr><tr><td>Â· <code class="command">gdm</code></td></tr><tr><td>Â· <code class="command">kdm</code></td></tr><tr><td>Â· <code class="command">xdm</code></td></tr><tr><td>Â· <code class="command">su</code></td></tr><tr><td>Â· <code class="command">ssh</code></td></tr><tr><td>Â· <code class="command">scp</code></td></tr><tr><td>Â· <code class="command">sftp</code></td></tr></table>
							</td><td>
								<table border="0" summary="Simple list" class="simplelist"><tr><td>Programas que no necesiten de una terminal, como por ejemplo, clientes FTP, clientes de correo, y muchos programas de tipo setuid. </td></tr><tr><td>Los siguientes programas <span class="emphasis"><em>no</em></span> estÃ¡n prevenidos al intentar acceder a la cuenta root: </td></tr><tr><td>Â· <code class="command">sudo</code></td></tr><tr><td>Â· Clientes de FTP </td></tr><tr><td>Â· Clientes de correo </td></tr></table>
							</td></tr><tr><td>
								Deshabilitar el acceso root mediante cualquier dispositivo de consola (tty)
							</td><td>
								Un archivo <code class="filename">/etc/securetty</code> vacÃo previene los intentos de accesos root a cualquier dispositivo asociado con la computadora.
							</td><td>
								<table border="0" summary="Simple list" class="simplelist"><tr><td>Previene accesos a la cuenta root mediante la consola o la red. Los siguientes programas son prevenidos al intentar acceder a la cuenta root: </td></tr><tr><td>Â· <code class="command">login</code></td></tr><tr><td>Â· <code class="command">gdm</code></td></tr><tr><td>Â· <code class="command">kdm</code></td></tr><tr><td>Â· <code class="command">xdm</code></td></tr><tr><td>Â· Otros servicios de red que abran una tty </td></tr></table>
							</td><td>
								<table border="0" summary="Simple list" class="simplelist"><tr><td>Programas que no se registran como root, pero que realizan tareas administrativas mediante programas de tipo setuid, o mediante otros mecanismos. </td></tr><tr><td>Los siguientes programas <span class="emphasis"><em>no</em></span> estÃ¡n prevenidos al intentar acceder a la cuenta root: </td></tr><tr><td>Â· <code class="command">su</code></td></tr><tr><td>Â· <code class="command">sudo</code></td></tr><tr><td>Â· <code class="command">ssh</code></td></tr><tr><td>Â· <code class="command">scp</code></td></tr><tr><td>Â· <code class="command">sftp</code></td></tr></table>
							</td></tr><tr><td>
								DeshabilitaciÃ³n de las opciones de ingreso como root por SSH.
							</td><td>
								Edite el archivo <code class="filename">/etc/ssh/sshd_config</code> y establezca el parÃ¡metro <code class="command">PermitRootLogin</code> en <code class="command">no</code>.
							</td><td>
								<table border="0" summary="Simple list" class="simplelist"><tr><td>Prevenga el acceso root utilizando el conjunto de herramientas de OpenSSH. Los siguientes programas son prevenidos al intentar acceder a a cuenta root: </td></tr><tr><td>Â· <code class="command">ssh</code></td></tr><tr><td>Â· <code class="command">scp</code></td></tr><tr><td>Â· <code class="command">sftp</code></td></tr></table>
							</td><td>
								<table border="0" summary="Simple list" class="simplelist"><tr><td>Esto sÃ³lo previene el acceso root al conjunto de herramientas de OpenSSH. </td></tr></table>
							</td></tr><tr><td>
								Utilice PAM para limitar el acceso root a los servicios.
							</td><td>
								Edite el archivo para el servicio en cuestiÃ³n en el directorio <code class="filename">/etc/pam.d/</code>. AsegÃºrese que el archivo <code class="filename">pam_listfile.so</code> sea requerido para autenticaciÃ³n.<sup>[<a id="d0e2430" href="#ftn.d0e2430" class="footnote">a</a>]</sup>
							</td><td>
								<table border="0" summary="Simple list" class="simplelist"><tr><td>Previene el acceso root a los servicios de red que son compatibles com PAM. </td></tr><tr><td>Los siguientes servcicios son prevenidos al intentar acceder a la cuenta de root: </td></tr><tr><td>Â· Clientes de FTP </td></tr><tr><td>Â· Clientes de correo </td></tr><tr><td>Â· <code class="command">login</code></td></tr><tr><td>Â· <code class="command">gdm</code></td></tr><tr><td>Â· <code class="command">kdm</code></td></tr><tr><td>Â· <code class="command">xdm</code></td></tr><tr><td>Â· <code class="command">ssh</code></td></tr><tr><td>Â· <code class="command">scp</code></td></tr><tr><td>Â· <code class="command">sftp</code></td></tr><tr><td>Â· Cualquier servicio PAM </td></tr></table>
							</td><td>
								<table border="0" summary="Simple list" class="simplelist"><tr><td>Programas y servicios que no son compatibles con PAM. </td></tr></table>
							</td></tr></tbody><tbody class="footnotes"><tr><td colspan="4"><div class="footnote"><p><sup>[<a id="ftn.d0e2430" href="#d0e2430" class="para">a</a>] </sup>
									Para concer mÃ¡s detalles, vea la <a class="xref" href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Disallowing_Root_Access-Disabling_Root_Using_PAM" title="2.1.4.2.4. Deshabilitando root usando PAM">SecciÃ³nÂ 2.1.4.2.4, â€œDeshabilitando root usando PAMâ€</a>.
								</p></div></td></tr></tbody></table></div><h6>Tabla 2.1. MÃ©todos para deshabilitar la cuenta root</h6></div><br class="table-break"/><div class="section" title="2.1.4.2.1. Deshabilitando la cuenta shell de root"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Disallowing_Root_Access-Disabling_the_Root_Shell">2.1.4.2.1. Deshabilitando la cuenta shell de root</h5></div></div></div><div class="para">
					Para prevenir que los usuarios se resgistren directamente como usuarios root, el administrador del sistema puede establecer la consola de la cuenta de root como <code class="command">/sbin/nologin</code> en el archivo <code class="filename">/etc/passwd</code>. Esto previene el acceso a la cuenta root mediante comandos que necesiten una terminal, como por ejemplo el comando <code class="command">su</code> y los comandos <code class="command">ssh</code>.
				</div><div class="important"><h2>Importante</h2><div class="para">
						Los programas que no necesitan acceso a la consola, como son por ejemplo los clientes de correo electrÃ³nico, o el comando <code class="command">sudo</code>, pueden todavÃa tener acceso a la cuenta root.
					</div></div></div><div class="section" title="2.1.4.2.2. Deshabilitando conexiones como root"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Disallowing_Root_Access-Disabling_Root_Logins">2.1.4.2.2. Deshabilitando conexiones como root</h5></div></div></div><div class="para">
					Para en el futuro limitar el acceso a la cuenta root, los administradores pueden deshabilitar la posibilidad de registrarse como usuarios root editando el archivo <code class="filename">/etc/securetty</code>. Este archivo muestra todos los dispositivos a los que el usuario root puede registrarse. Si el archivo no existiese, el usuario root puede registrarse a travÃ©s de cualquier dispositivo de comunicaciÃ³n en el sistema, ya sea mediante la utilizaciÃ³n de la consola, o mediante una interfaz de red. Esto es peligroso ya que un usuario puede registrarse en su mÃ¡quina como usuario root mediante Telnet, que transmite en la red la contraseÃ±a en formato de texto simple. Por defecto, el archivo <code class="filename">/etc/securetty</code> de Fedora sÃ³lo permite que el usuario root se registre en la consola asociada fÃsicamente en la mÃ¡quina. Para prevenir al usuario root que se registre, elimine los contenidos de este archivo con la utilizaciÃ³n del siguiente comando:
				</div><pre class="screen"><code class="command">echo > /etc/securetty</code>
</pre><div class="warning"><h2>Advertencia</h2><div class="para">
						Un archivo <code class="filename">/etc/securetty</code> vacÃo <span class="emphasis"><em>no</em></span> evita que el usuario root se registre remotamente en el sistema utilizando el conjunto de herramientas OpenSSH, ya que la consola no se inicia hasta luego de la autenticaciÃ³n.
					</div></div></div><div class="section" title="2.1.4.2.3. Deshabilitando conexiones SSH como root"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Disallowing_Root_Access-Disabling_Root_SSH_Logins">2.1.4.2.3. Deshabilitando conexiones SSH como root</h5></div></div></div><div class="para">
					Los ingresos root mediante el protocolo SSH estÃ¡n deshabilitados por defecto en Fedora; sin embargo, si esta opciÃ³n ha sido activada, puede deshabilitarse nuevamente editando el archivo de configuraciÃ³n del demonio SSH (<code class="filename">/etc/ssh/sshd_config</code>). Cambie la lÃnea en la que se lee:
				</div><pre class="screen"><code class="computeroutput">PermitRootLogin yes</code>
</pre><div class="para">
					leer como sigue:
				</div><pre class="screen"><code class="computeroutput">PermitRootLogin no</code>
</pre><div class="para">
					Para que estos cambios tengan efecto, el demonio SSH debe ser reiniciado. Esto puede realizarse mediante el siguiente comando:
				</div><pre class="screen"><code class="computeroutput">kill -HUP `cat /var/run/sshd.pid`</code>
</pre></div><div class="section" title="2.1.4.2.4. Deshabilitando root usando PAM"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Disallowing_Root_Access-Disabling_Root_Using_PAM">2.1.4.2.4. Deshabilitando root usando PAM</h5></div></div></div><div class="para">
					PAM, a travÃ©s del mÃ³dulo <code class="filename">/lib/security/pam_listfile.so</code>, permite gran flexibilidad a la hora de denegar cuentas especÃficas. El administrador puede utilizar este mÃ³dulo para hacer referencia a una lista de usuarios que no tienen permitido registrarse. MÃ¡s abajo mostramos un ejemplo acerca de cÃ³mo el mÃ³dulo es utilizado por el servidor FTP <code class="command">vsftpd</code> en el archivo de configuraciÃ³n de PAM <code class="filename">/etc/pam.d/vsftpd</code> (el caracter <code class="computeroutput">\</code> al final de la primera lÃnea en el ejemplo <span class="emphasis"><em>no</em></span> es necesario si la directiva se encuentra en una sola lÃnea):
				</div><pre class="screen">auth required /lib/security/pam_listfile.so item=user \ 
sense=deny file=/etc/vsftpd.ftpusers onerr=succeed
</pre><div class="para">
					Esto le indica a PAM que consulte el archivo <code class="filename">/etc/vsftpd.ftpusers</code> y que niegue el acceso al servicio al usuario listado. El administrador puede modificar el nombre en este archivo, y puede tener diferentes listas para cada servicio, o utilizar una lista principal para negar el acceso a mÃºltiples servicios.
				</div><div class="para">
					Si el administrador quiere negar el acceso a mÃºltiples servicios, una lÃnea similar puede ser aÃ±adida a los archivos de configuraciÃ³n PAM, como por ejemplo, <code class="filename">/etc/pam.d/pop</code> y <code class="filename">/etc/pam.d/imap</code> para clientes e correo, o <code class="filename">/etc/pam.d/ssh</code> para clientes SSH.
				</div><div class="para">
					Para obtener mayor informaciÃ³n acerca de PAM, vea la <a class="xref" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. MÃ³dulos de autenticaciÃ³n conectables (PAM, por las iniciales en inglÃ©s de Pluggable Authentication Modules)">SecciÃ³nÂ 2.4, â€œMÃ³dulos de autenticaciÃ³n conectables (PAM, por las iniciales en inglÃ©s de Pluggable Authentication Modules)â€</a>.
				</div></div></div><div class="section" title="2.1.4.3. Limitando acceso como root"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Administrative_Controls-Limiting_Root_Access">2.1.4.3. Limitando acceso como root</h4></div></div></div><div class="para">
				En lugar de negarle acceso completamente al usuario root, el admisnitrador podrÃa querer permitirle el acceso sÃ³lo mediante la utilizaciÃ³n de programas de tipo setuid, como ser por ejemplo <code class="command">su</code> o <code class="command">sudo</code>.
			</div><div class="section" title="2.1.4.3.1. El comando su"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Limiting_Root_Access-The_su_Command">2.1.4.3.1. El comando <code class="command">su</code></h5></div></div></div><div class="para">
					Cuando un usuario ejecuta el comando <code class="command">su</code>, se le solicita la contraseÃ±a de root y, luego de la autenticaciÃ³n, le es dado un indicador de consola.
				</div><div class="para">
					Una vez que se registra mediante el comando <code class="command">su</code>, el usuario <span class="emphasis"><em>es</em></span> el usuario root y tiene accesos admisnitrativos absolutos en el sistema <sup>[<a id="d0e2630" href="#ftn.d0e2630" class="footnote">13</a>]</sup>. AdemÃ¡s, una vez que el usuario se ha convertido en root, es posible la utilizaciÃ³n del comando <code class="command">su</code> para convertirse en cualquier otro usuario en el sistema sin que por eso se le pida ningÃºn tipo de contraseÃ±a.
				</div><div class="para">
					Debido a la potencia de este programa, los administradores de una organizaciÃ³n podrÃan desear limitar a quiÃ©nes tienen acceso a este comando.
				</div><div class="para">
					Una de las maneras mÃ¡s sencillas de hacer esto es aÃ±adiendo usuarios al grupo administrativo especial denominado <em class="firstterm">wheel</em>. Para hacerlo, ingrese el siguiente comando como usuario root:
				</div><pre class="screen"><code class="command">usermod -G wheel <em class="replaceable"><code><nombreusuario></code></em></code>
</pre><div class="para">
					En el comando anterior, reemplace <em class="replaceable"><code><username></code></em> con el nombre del usuario que desee aÃ±adir al grupo <code class="command">wheel</code> .
				</div><div class="para">
					TambiÃ©n puede utilizar de la siguiente manera el <span class="application"><strong>Administrador de usuarios</strong></span> para modificar las pertenencias a los grupos. Nota: necesita privilegios de administrador para realizar este procedimiento:
				</div><div class="procedure"><ol class="1"><li class="step" title="Paso 1"><div class="para">
							Haga clic en el menÃº <span class="guimenu"><strong>Sistema</strong></span> en el panel, apunte al menÃº <span class="guisubmenu"><strong>AdministraciÃ³n</strong></span> y luego haga clic en <span class="guimenuitem"><strong>Usuarios y Grupos</strong></span> para mostrar el Aministrador de Usuarios. Alternativamente, teclee el comando <code class="command">system-config-users</code> en un indicador de shell.
						</div></li><li class="step" title="Paso 2"><div class="para">
							Haga clic en la pestaÃ±a <span class="guilabel"><strong>Usuarios</strong></span> y seleccione el usuario requerido de la lista de usuarios.
						</div></li><li class="step" title="Paso 3"><div class="para">
							Haga clic en <span class="guibutton"><strong>Propiedades</strong></span> en la barra de herramientas para mostrar el cuadro de diÃ¡logo de las Propiedades del Usuario (o elija <span class="guimenuitem"><strong>Propiedades</strong></span> en el menÃº <span class="guimenu"><strong>Archivo</strong></span>).
						</div></li><li class="step" title="Paso 4"><div class="para">
							Haga clic en la pestaÃ±a <span class="guilabel"><strong>Grupos</strong></span>, seleccione la casilla para el grupo wheel, y luego haga clic en <span class="guibutton"><strong>OK</strong></span>. Vea la <a class="xref" href="chap-Security_Guide-Securing_Your_Network.html#figu-Security_Guide-The_su_Command-Adding_users_to_the_wheel_group." title="Figura 2.2. AÃ±adiendo usuarios al grupo "wheel"">FiguraÂ 2.2, â€œAÃ±adiendo usuarios al grupo "wheel"â€</a>.
						</div></li><li class="step" title="Paso 5"><div class="para">
							Abra el archivo de configuraciÃ³n PAM para el comando <code class="command">su</code> (<code class="filename">/etc/pam.d/su</code>) en un editor de textos, y elimine el comentario <span class="keycap"><strong>#</strong></span> de la siguiente lÃnea:
						</div><pre class="screen">auth  required /lib/security/$ISA/pam_wheel.so use_uid
</pre><div class="para">
							Este cambio significa que solo miembros del grupo administrativo <code class="computeroutput">wheel</code> pueden usar este programa.
						</div></li></ol></div><div class="figure" id="figu-Security_Guide-The_su_Command-Adding_users_to_the_wheel_group."><div class="figure-contents"><div class="mediaobject"><img src="images/fed-user_pass_groups.png" alt="AÃ±adiendo usuarios al grupo "wheel""/><div class="longdesc"><div class="para">
								IlustraciÃ³n del panel <span class="guilabel"><strong>Grupos</strong></span>
							</div></div></div></div><h6>Figura 2.2. AÃ±adiendo usuarios al grupo "wheel"</h6></div><br class="figure-break"/><div class="note"><h2>Nota</h2><div class="para">
						El usuario root es por defecto miembro del grupo <code class="computeroutput">wheel</code>.
					</div></div></div><div class="section" title="2.1.4.3.2. El comando sudo"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Limiting_Root_Access-The_sudo_Command">2.1.4.3.2. El comando <code class="command">sudo</code></h5></div></div></div><div class="para">
					El comando <code class="command">sudo</code> ofrece un nuevo punto de vista a la cuestiÃ³n acerca de si otorgarle o no accesos administrativos a los usuarios. Cuando un usuario confiable le anteponga el comando <code class="command">sudo</code> a un comando administrativo, le serÃ¡ pedida <span class="emphasis"><em>su propia</em></span> contraseÃ±a. Entonces, cuando sea autenticado y asumiendo que el comando le sea permitido, el comando administrativo en cuestiÃ³n serÃ¡ ejecutado como si este usuario fuera el usuario root.
				</div><div class="para">
					Los formatos bÃ¡sicos del comando <code class="command">sudo</code> son los siguientes:
				</div><pre class="screen"><code class="command">sudo <em class="replaceable"><code><comando></code></em></code>
</pre><div class="para">
					En el ejemplo anterior, <em class="replaceable"><code><command></code></em> deberÃa ser reemplazado por un comando que por lo general estÃ© reservado al usuario root, como ser por ejemplo, <code class="command">mount</code>.
				</div><div class="important"><h2>Importante</h2><div class="para">
						Los usuarios del comando <code class="command">sudo</code> deberÃan tener mucho cuidado y cancelar esta herramienta antes de abandonar sus equipos, ya que en un perÃodo de tiempo de cinco minutos, los usuarios sudo pueden utilizar el comando nuevamente sin que por ello les sea pedida una contraseÃ±a. Esta configuraciÃ³n puede modificarse desde el archivo de configuraciÃ³n <code class="filename">/etc/sudoers</code>.
					</div></div><div class="para">
					El comando <code class="command">sudo</code> permite un alto grado de flexibilidad. Por ejemplo, solo a los usuarios listados en el archivo de configuraciÃ³n <code class="filename">/etc/sudoers</code> les es permitido utilizar el comando <code class="command">sudo</code>, y el comando es ejecutado en la terminal <span class="emphasis"><em>del usuario</em></span>, no en una consola de usuario root. Esto significa que la consola del usuario root puede ser completamente deshabilitada, como se indicÃ³ en <a class="xref" href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Disallowing_Root_Access-Disabling_the_Root_Shell" title="2.1.4.2.1. Deshabilitando la cuenta shell de root">SecciÃ³nÂ 2.1.4.2.1, â€œDeshabilitando la cuenta shell de rootâ€</a>.
				</div><div class="para">
					El comando <code class="command">sudo</code> tambiÃ©n ofrece un mÃ©todo fÃ¡cil de entender para su control. Cada autenticaciÃ³n exitosa es registrada en el archivo <code class="filename">/var/log/messages</code>, y el comando ingresado, junto con el nombre del usuario que lo ingresÃ³, se registran en el archivo <code class="filename">/var/log/secure</code>.
				</div><div class="para">
					Otra ventaja del comando <code class="command">sudo</code> es que un administrador puede permitir a diferentes usuarios acceder a comandos especÃficos de acuerdo a sus necesidades.
				</div><div class="para">
					Los administradores que quieran editar <code class="filename">/etc/sudoers</code>, el archivo de configuraciÃ³n del comando <code class="command">sudo</code>, deberÃan utilizar el comando <code class="command">visudo</code>.
				</div><div class="para">
					Para otrogarle a un usario todos los privilegios admisnitrativos, ingrese <code class="command">visudo</code>, y agregue una lÃnea similar a la siguiente en la secciÃ³n de especificaciones de los privilegios del usuario:
				</div><pre class="screen"><code class="command">juan ALL=(ALL) ALL</code>
</pre><div class="para">
					Este ejemplo indica que el usuario <code class="computeroutput">juan</code>, puede utilizar el comando <code class="command">sudo</code> desde cualquier equipo y ejecutar cualquier comando.
				</div><div class="para">
					El ejemplo que damos a continuaciÃ³n ilustra pequeÃ±os detalles posibles al configurar <code class="command">sudo</code>:
				</div><pre class="screen"><code class="command">%users localhost=/sbin/shutdown -h now</code>
</pre><div class="para">
					Este ejemplo indica que cualquier usuario puede ejecutar el comando <code class="command">/sbin/shutdown -h now</code>, siempre y cuando lo haga desde una consola.
				</div><div class="para">
					La pÃ¡gina man del archivo <code class="filename">sudoers</code> contiene una lista detallada de opciones.
				</div></div></div></div><div class="section" title="2.1.5. Servicios de red disponibles"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Workstation_Security-Available_Network_Services">2.1.5. Servicios de red disponibles</h3></div></div></div><div class="para">
			Si bien el acceso de los usuarios a controles administrativos es un problema importante para los administradores del sistema dentro de una organizaciÃ³n, controlar quÃ© servicios de red son los que se encuentran activos, es de importancia suprema para cualquiera que opere un sistema Linux.
		</div><div class="para">
			Muchos servicios bajo Fedora se comportan como servidores de red. Si un servicio de red estÃ¡ ejecutÃ¡ndose en una mÃ¡quina, una aplicaciÃ³n de servidor (denominada <em class="firstterm">demonio</em>), estÃ¡ escuchando las conexiones de uno o mÃ¡s puertos de red. Cada uno de estos servidores deberÃa ser tratado como una potencial vÃa de ingreso de atacantes.
		</div><div class="section" title="2.1.5.1. Riesgos a servicios"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Available_Network_Services-Risks_To_Services">2.1.5.1. Riesgos a servicios</h4></div></div></div><div class="para">
				Los servicios de red puede plantear numerosos riesgos para sistemas Linux. A continuaciÃ³n mostramos una lista con algunas de las cuestiones principales:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<span class="emphasis"><em>Ataques de denegaciÃ³n de servicio (DoS, por las iniciales en inglÃ©s de Denial of Service Attacks )</em></span> â€” Al inundar un servicio con peticiones, un ataque de denegaciÃ³n de servicio puede dejar inutilizable a un sistema, ya que este trata de registrar y de responder a cada peticiÃ³n.
					</div></li><li class="listitem"><div class="para">
						<span class="emphasis"><em>Distributed Denial of Service Attack (DDoS)</em></span> â€” A type of DoS attack which uses multiple compromised machines (often numbering in the thousands or more) to direct a co-ordinated attack on a service, flooding it with requests and making it unusable.
					</div></li><li class="listitem"><div class="para">
						<span class="emphasis"><em>Ataques a las debilidades de los programas</em></span> â€” Si un servidor estÃ¡ utilizando programas para ejecutar acciones propias, como comÃºnmente lo hacen los servidores Web, un atacante puede concentrarse en los scripts mal escritos. Este ataque a las debilidades de los programas puede llevar a una condiciÃ³n de desbordamiento del bÃºfer, o permitir que los atacantes modifiquen archivos en el sistema.
					</div></li><li class="listitem"><div class="para">
						<span class="emphasis"><em>Ataques de desbordamiento del bÃºfer</em></span> â€” Los servicios que se conectan al rango de puertos que va entre 0 y 1023, deben ser ejecutados como usuario administrativo. Si una aplicaciÃ³n puede provocar un desbordamiento del bÃºfer, un atacante puede obtener acceso al sistema como el usuario que ejecuta el demonio. Debido a que los desbordamientos del bÃºfer existen, los atacantes utilizan herramientas automatizadas para identificar sistemas con debilidades, y una vez obtenido el acceso, usan rootkits automatizados para mantener ese acceso al sistema.
					</div></li></ul></div><div class="note"><h2>Nota</h2><div class="para">
					La amenaza que representa la debilidad de un bÃºfer desbordado es mitigada en Fedora mediante la utilizaciÃ³n de <em class="firstterm">ExecShield</em>, un programa de ejecuciÃ³n de segmentaciÃ³n de la memoria y protecciÃ³n de la tecnologÃa, con soporte para kernels de sistemas compatibles x86 de uno o mÃ¡s procesadores. ExecShield reduce el riesgo de un desbordamiento del bÃºfer al clasificar la memoria virtual en segmentos ejecutables y no ejecutables. Cualquier cÃ³digo de programa que intente ejecutarse fuera de los segmentos ejecutables (como por ejemplo codigo maliciosos introducido desde un bÃºfer desbordado que ha sido aprovechado), dispara una falla de segmentaciÃ³n y finaliza.
				</div><div class="para">
					Execshield tambiÃ©n ofrece soporte para las tencologÃas <em class="firstterm">No ejecutar</em> (<acronym class="acronym">NX</acronym>, por las iniciales en inglÃ©s de No eXecute) de las plataformas AMD64, y para las tecnologÃas <em class="firstterm">Deshabilitar ejecutar</em> (<acronym class="acronym">XD</acronym>, por las iniciales en inglÃ©s de eXecute Disable) de las las plataformas Itanium y sistemas <span class="trademark">Intel</span>Â® 64. Estas tecnologÃas trabajan junto a ExecShield para prevenir que sea ejecutado cÃ³digo malicioso en la porciÃ³n ejecutable de la memoria virtual, con una precisiÃ³n de 4KB de cÃ³digo ejecutable, disminuyendo el riego de un ataque a la debilidad de un bÃºfer desbordado.
				</div></div><div class="important"><h2>Importante</h2><div class="para">
					Para limitar la exposiciÃ³n a ataques en la red, todos los servicios que no son utilizados deben ser apagados.
				</div></div></div><div class="section" title="2.1.5.2. Identificando y configurando servicios"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Available_Network_Services-Identifying_and_Configuring_Services">2.1.5.2. Identificando y configurando servicios</h4></div></div></div><div class="para">
				Para mejorar la seguridad, muchos de los servicios de red instalados con Fedora estÃ¡n apagados por defecto. Hay, de todas formas, algunas notables excepciones:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<code class="command">cupsd</code> â€” El servidor de impresiÃ³n por defecto para Fedora.
					</div></li><li class="listitem"><div class="para">
						<code class="command">lpd</code> â€” Un servidor de impresiÃ³n alternativo.
					</div></li><li class="listitem"><div class="para">
						<code class="command">xinetd</code> â€” Un sÃºper servidor que controla las conexiones de un rango de servidores subordinados, como son, por ejemplo <code class="command">gssftp</code> y <code class="command">telnet</code>.
					</div></li><li class="listitem"><div class="para">
						<code class="command">sendmail</code> â€” El <em class="firstterm">Agente de transporte de correo</em> (<abbr class="abbrev">MTA</abbr>, por las iniciales en inglÃ©s de Mail Transport Agent) de Sendmail es activado por defecto, pero solo escucha las conexiones del <span class="interface">localhost</span>.
					</div></li><li class="listitem"><div class="para">
						<code class="command">sshd</code> â€” El servidor OpenSSH, es un reemplazo seguro para Telnet.
					</div></li></ul></div><div class="para">
				Cuando se intenta conocer cuÃ¡ndo dejar estos servicios en ejecuciÃ³n, lo mejor es utilizar el sentido comÃºn y adoptar un punto de vista basado en la precauciÃ³n. Por ejemplo, si una impresora no estÃ¡ disponible, no deje el servicio <code class="command">cupsd</code> prendido. Lo mismo vale para <code class="command">portmap</code>. Si usted no monta volumenes NFSv3, o utiliza NIS (el servicio <code class="command">ypbind</code>), entonces <code class="command">portmap</code> deberÃa deshabilitarse.
			</div><div class="figure" id="figu-Security_Guide-Identifying_and_Configuring_Services-Services_Configuration_Tool"><div class="figure-contents"><div class="mediaobject"><img src="images/fed-service_config.png" alt="Herramienta de configuraciÃ³n de servicios"/><div class="longdesc"><div class="para">
							IlustraciÃ³n <span class="application"><strong>Herramienta de ConfiguraciÃ³n de Servicios</strong></span>
						</div></div></div></div><h6>Figura 2.3. <span class="application">Herramienta de configuraciÃ³n de servicios</span></h6></div><br class="figure-break"/><div class="para">
				Si no estÃ¡ seguro de los propÃ³sitos de un servicio particular, la <span class="application"><strong>Herrameinta de configuraciÃ³n de servicios</strong></span> tiene un campo descriptivo, que se detalla en <a class="xref" href="chap-Security_Guide-Securing_Your_Network.html#figu-Security_Guide-Identifying_and_Configuring_Services-Services_Configuration_Tool" title="Figura 2.3. Herramienta de configuraciÃ³n de servicios">FiguraÂ 2.3, â€œ<span class="application">Herramienta de configuraciÃ³n de servicios</span>â€</a>, y que ofrece informaciÃ³n adicional.
			</div><div class="para">
				Verificar quÃ© servicios de red se encuentran disponibles para iniciarse en el momento del arranque del sistema, es sÃ³lo una parte de esta historia. DeberÃa verificar tambiÃ©n quÃ© puertos estÃ¡n abiertos y escuchando. Para mÃ¡s informaciÃ³n, vea la <a class="xref" href="sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening.html" title="2.2.8. Verificar quÃ© puertos estÃ¡n abiertos">SecciÃ³nÂ 2.2.8, â€œVerificar quÃ© puertos estÃ¡n abiertosâ€</a>.
			</div></div><div class="section" title="2.1.5.3. Servicios inseguros"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Available_Network_Services-Insecure_Services">2.1.5.3. Servicios inseguros</h4></div></div></div><div class="para">
				Cualquier servicio de red es potencialmente inseguro. Es por esto que es tan importante apagar los servicios que no se utilicen. Las debilidades de los servicios son cotidianamente descubiertas y enmendadas, haciendo que sea muy importante actualizar los paquetes relacionados con cualquiera de los servicios de red. Para obtener mÃ¡s informaciÃ³n, vea la <a class="xref" href="sect-Security_Guide-Security_Updates.html" title="1.5. Actualizaciones de seguridad">SecciÃ³nÂ 1.5, â€œActualizaciones de seguridadâ€</a>.
			</div><div class="para">
				Algunos protocolos de red son en sÃ mismos mÃ¡s inseguros que otros. Estos incluyen los servicios que:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<span class="emphasis"><em>Transmiten sin encriptar nombres de usuarios y contraseÃ±as en la red</em></span> â€” Muchos protocolos antiguos, como por ejemplo Telnet y FTP, no encriptan las autenticaciones de las sesiones, y siempre que sea posible, deberÃan ser evitados.
					</div></li><li class="listitem"><div class="para">
						<span class="emphasis"><em>Transmiten datos vitales sin encriptarse sobre una red</em></span> â€” Muchos protocolos transmiten datos en la red sin encriptarlos. Estos protocolos incluyen Telnet, FTP, HTTP y SMTP. Muchos sistemas de archivos de red, como NFS y SMB, tambiÃ©n transmiten informaciÃ³n sobre internet sin encriptarla. Al utilizar estos protocolos, queda bajo la exclusiva responsabilidad del usuario limitar la clase de datos que se transmitan.
					</div><div class="para">
						Servicios de volcado de memoria remoto, como <code class="command">netdump</code>, transmiten el contenido de la memoria sobre una red sin encriptar . Los volcados de memoria pueden contener contraseÃ±as o, peor aÃºn, entradas a base de datos o informaciÃ³n sensible.
					</div><div class="para">
						Otros servicios como <code class="command">finger</code> y <code class="command">rwhod</code> revelan informaciÃ³n sobre usuarios del sistema.
					</div></li></ul></div><div class="para">
				Ejemplos de servicios inherentemente inseguros incluyen <code class="command">rlogin</code>, <code class="command">rsh</code>, <code class="command">telnet</code>, y <code class="command">vsftpd</code>.
			</div><div class="para">
				Todos los programas de ingreso remoto de consola (<code class="command">rlogin</code>, <code class="command">rsh</code>, y <code class="command">telnet</code>) deberÃan ser evitados en favor de la utilizaciÃ³n de SSH. Para obtener mayor informaciÃ³n acerca de <code class="command">sshd</code>, vea la <a class="xref" href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Security_Enhanced_Communication_Tools" title="2.1.7. Herramientas de comunicaciÃ³n de seguridad mejorada">SecciÃ³nÂ 2.1.7, â€œHerramientas de comunicaciÃ³n de seguridad mejoradaâ€</a>.
			</div><div class="para">
				FTP no es en sÃ mismo tan peligroso para la seguridad del sistema como las consolas remotas, pero los servidores FTP deben ser cuidadosamente configurados y vigilados para evitar probelmas. Para obtener mayor informaciÃ³n acerca cÃ³mo asegurar servidores FTP, vea la <a class="xref" href="sect-Security_Guide-Server_Security-Securing_FTP.html" title="2.2.6. Asegurando FTP">SecciÃ³nÂ 2.2.6, â€œAsegurando FTPâ€</a>.
			</div><div class="para">
				Entre los ervicios que deberÃan ser cuidadosamente implementados, y colocarse detrÃ¡s de un cortafuegos, podemos encontrar a:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<code class="command">finger</code>
					</div></li><li class="listitem"><div class="para">
						<code class="command">authd</code> (antes llamado <code class="command">identd</code> en versiones anteriores de Fedora.)
					</div></li><li class="listitem"><div class="para">
						<code class="command">netdump</code>
					</div></li><li class="listitem"><div class="para">
						<code class="command">netdump-server</code>
					</div></li><li class="listitem"><div class="para">
						<code class="command">nfs</code>
					</div></li><li class="listitem"><div class="para">
						<code class="command">rwhod</code>
					</div></li><li class="listitem"><div class="para">
						<code class="command">sendmail</code>
					</div></li><li class="listitem"><div class="para">
						<code class="command">smb</code> (Samba)
					</div></li><li class="listitem"><div class="para">
						<code class="command">yppasswdd</code>
					</div></li><li class="listitem"><div class="para">
						<code class="command">ypserv</code>
					</div></li><li class="listitem"><div class="para">
						<code class="command">ypxfrd</code>
					</div></li></ul></div><div class="para">
				Mayor informaciÃ³n acerca de cÃ³mo asegurar servicios de red puede encontrarse en la <a class="xref" href="sect-Security_Guide-Server_Security.html" title="2.2. Seguridad del servidor">SecciÃ³nÂ 2.2, â€œSeguridad del servidorâ€</a>.
			</div><div class="para">
				La siguiente secciÃ³n discute las herramientas disponibles para crear un cortafuegos sencillo.
			</div></div></div><div class="section" title="2.1.6. Cortafuegos personales"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Workstation_Security-Personal_Firewalls">2.1.6. Cortafuegos personales</h3></div></div></div><div class="para">
			Luego de haberse configurado los servicios de red <span class="emphasis"><em>necesarios</em></span>, es importante la implementaciÃ³n de un cortafuegos.
		</div><div class="important"><h2>Importante</h2><div class="para">
				DeberÃa configurar los servicios necesarios e implementar un cortafuegos <span class="emphasis"><em>antes</em></span> de conectarse a Internet, o a cualquier otra red en la que usted no confÃe.
			</div></div><div class="para">
			Los cortafuegos previenen que los paquetes de red ingresen a la interfaz de red del sistema. Si una peticiÃ³n es realizada a un puerto bloqueado por un cortafuegos, la peticiÃ³n serÃ¡ ignorada. Si un servicio estÃ¡ escuchando uno de estos puertos bloqueados, no recibe los paquetes y es efectivamente deshabilitado. Por esta razÃ³n, debe tenerse cuidado cuando se configure un cortafuegos para bloquear el acceso a puertos que no estÃ©n en uso, y se ponga atenciÃ³n al proceso para que no sea bloqueado el acceso a puertos utilizados por otros servicios configurados.
		</div><div class="para">
			Para la mayorÃa de los usuarios, la mejor herramienta para configurar un cortafuegos es la herramienta de configuraciÃ³n grÃ¡fica de cortafuegos que viene con Fedora: <span class="application"><strong>Firewall Configuration Tool</strong></span> (<code class="command">system-config-firewall</code>). Esta herramienta genera reglas amplias de <code class="command">iptables</code> para un cortafuegos de propÃ³sitos generales, utilizando una interfaz de panel de control.
		</div><div class="para">
			Para obtener mayor informaciÃ³n acerca del uso de esta aplicaciÃ³n y sus opciones disponibles, vea la <a class="xref" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html" title="2.8.2. ConfiguraciÃ³n bÃ¡sica de un cortafuego">SecciÃ³nÂ 2.8.2, â€œConfiguraciÃ³n bÃ¡sica de un cortafuegoâ€</a>.
		</div><div class="para">
			Para usuarios avanzados y administradores de servidores, es una mejor opciÃ³n la de configurar manualmente el cortafuegos utilizando <code class="command">iptables</code>. Para obtener mayor informaciÃ³n, vea la <a class="xref" href="sect-Security_Guide-Firewalls.html" title="2.8. Cortafuegos">SecciÃ³nÂ 2.8, â€œCortafuegosâ€</a>. Para una guÃa detallada de la utilizaciÃ³n del comando <code class="command">iptables</code>, vea la <a class="xref" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables">SecciÃ³nÂ 2.9, â€œIPTablesâ€</a>.
		</div></div><div class="section" title="2.1.7. Herramientas de comunicaciÃ³n de seguridad mejorada"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Workstation_Security-Security_Enhanced_Communication_Tools">2.1.7. Herramientas de comunicaciÃ³n de seguridad mejorada</h3></div></div></div><div class="para">
			AsÃ como han crecido el tamaÃ±o y la popularidad de Internet, tambiÃ©n han aumentado los peligros de la interceptaciÃ³n de las comunicaciones. Con el correr de los aÃ±os, se han desarrollado herramientas para encriptar las comunicaciones mientras estÃ¡n siendo transferidas sobre la red.
		</div><div class="para">
			Fedora viene con dos herramientas bÃ¡sicas, que usan algoritmos de encriptaciÃ³n de alto nivel de clave pÃºblica, para proteger la informaciÃ³n mientras viaja por la red:
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					<span class="emphasis"><em>OpenSSH</em></span> â€” Una implementaciÃ³n libre del protocolo SSH para encriptar comunicaciones de red.
				</div></li><li class="listitem"><div class="para">
					<span class="emphasis"><em>ProtecciÃ³n de Privacidad Gnu (GPG, por las iniciales en inglÃ©s de Gnu Privacy Guard)</em></span> â€” Una implementaciÃ³n libre para proteger los datos de la aplicaciÃ³n para encriptado PGP (por las iniciales en inglÃ©s de Pretty Good Privacy).
				</div></li></ul></div><div class="para">
			OpenSSH es la forma mÃ¡s segura de acceder a equipos remotos y reemplazar servicios antiguos y no encriptados como <code class="command">telnet</code> y <code class="command">rsh</code>. Open SSH ofrece un servicio de red llamado <code class="command">sshd</code> y tres aplicaciones de cliente mediante la lÃnea de comandos:
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					<code class="command">ssh</code> â€” Un cliente seguro para acceso a consola remota.
				</div></li><li class="listitem"><div class="para">
					<code class="command">scp</code> â€” Un comando de copia remota segura.
				</div></li><li class="listitem"><div class="para">
					<code class="command">sftp</code> â€” Un pseudo cliente ftp seguro que permite sesiones interactivas de transferencias de archivos.
				</div></li></ul></div><div class="para">
			Vaya a la <a class="xref" href="Security_Guide-Encryption-Data_in_Motion-Secure_Shell.html" title="3.6. Shell seguro (SSH, por las iniciales en inglÃ©s de Secure Shell)">SecciÃ³nÂ 3.6, â€œShell seguro (SSH, por las iniciales en inglÃ©s de Secure Shell)â€</a> para mÃ¡s informaciÃ³n sobre OpenSSH.
		</div><div class="important"><h2>Importante</h2><div class="para">
				Si bien el servicio <code class="command">sshd</code> es en sÃ mismo seguro, el servicio <span class="emphasis"><em>debe</em></span> mantenerse actualizado para prevenir amenazas a la seguridad. Para obtener mayor informaciÃ³n, vea la <a class="xref" href="sect-Security_Guide-Security_Updates.html" title="1.5. Actualizaciones de seguridad">SecciÃ³nÂ 1.5, â€œActualizaciones de seguridadâ€</a>.
			</div></div><div class="para">
			GPG es una manera de asegurar la privacidad en la comunicaciÃ³n de correo. Puede ser utilizado tanto para enviar datos sensibles sobre las redes pÃºblicas como para proteger datos sensibles en discos duros.
		</div></div></div><div class="footnotes"><br/><hr/><div class="footnote"><p><sup>[<a id="ftn.d0e1504" href="#d0e1504" class="para">11</a>] </sup>
					Dado que el BIOS de cada sistema es diferente de acuerdo a su fabricante, algunos podrÃan no tener soporte para protecciÃ³n mediante contraseÃ±a de algÃºn tipo, mientras que otros podrÃan solo soportar un tipo pero no otro.
				</p></div><div class="footnote"><p><sup>[<a id="ftn.d0e1610" href="#d0e1610" class="para">12</a>] </sup>
						el GRUB tambiÃ©n acepta contraseÃ±as no encriptadas, pero es recomendable que un hash MD5 sea utilizado para aÃ±adir seguridad.
					</p></div><div class="footnote"><p><sup>[<a id="ftn.d0e2630" href="#d0e2630" class="para">13</a>] </sup>
						Estos accesos aÃºn estÃ¡n sujetos a las restricciones impuestas por SELinux, si es que se encuentra activo.
					</p></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Updating_Packages-Applying_the_Changes.html"><strong>Anterior</strong>1.5.4. AplicaciÃ³n de los cambios</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security.html"><strong>Siguiente</strong>2.2. Seguridad del servidor</a></li></ul></body></html>

--- NEW FILE chap-Security_Guide-Security_Overview.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>CapÃtulo 1. Repaso sobre seguridad</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="index.html" title="guÃa de seguridad"/><link rel="prev" href="We_Need_Feedback.html" title="2. Â¡Necesitamos sus comentarios!"/><link rel="next" href="sect-Security_Guide-Vulnerability_Assessment.html" title="1.2. EvaluaciÃ³n de debilidades"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p
 " href="We_Need_Feedback.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Vulnerability_Assessment.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="chapter" title="CapÃtulo 1. Repaso sobre seguridad"><div class="titlepage"><div><div><h2 class="title" id="chap-Security_Guide-Security_Overview">CapÃtulo 1. Repaso sobre seguridad</h2></div></div></div><div class="toc"><dl><dt><span class="section"><a href="chap-Security_Guide-Security_Overview.html#sect-Security_Guide-Introduction_to_Security">1.1. IntroducciÃ³n a la Seguridad</a></span></dt><dd><dl><dt><span class="section"><a href="chap-Security_Guide-Security_Overview.html#sect-Security_Guide-Introduction_to_Security-What_is_Computer_Security">1.1.1. Â¿QuÃ© es la seguridad en computaciÃ³n?</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Security_Overview.html#sect-Security_Guide-Introduction_to_Security-SELinux">1.1.2. SELinu
 x</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Security_Overview.html#sect-Security_Guide-Introduction_to_Security-Security_Controls">1.1.3. Controles de seguridad</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Security_Overview.html#sect-Security_Guide-Introduction_to_Security-Conclusion">1.1.4. ConclusiÃ³n</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Vulnerability_Assessment.html">1.2. EvaluaciÃ³n de debilidades</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Vulnerability_Assessment.html#sect-Security_Guide-Vulnerability_Assessment-Thinking_Like_the_Enemy">1.2.1. Pensando como el enemigo</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Vulnerability_Assessment-Defining_Assessment_and_Testing.html">1.2.2. Definiendo evaluaciÃ³n y pruebas</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Vulnerability_Assessment-Evaluating
 _the_Tools.html">1.2.3. Herramientas de evaluaciÃ³n</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Attackers_and_Vulnerabilities.html">1.3. Atacantes y vulnerabilidades</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Attackers_and_Vulnerabilities.html#sect-Security_Guide-Attackers_and_Vulnerabilities-A_Quick_History_of_Hackers">1.3.1. Una breve reseÃ±a acerca de los hackers</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Network_Security.html">1.3.2. Amenazas a la seguridad de la red</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html">1.3.3. Amenazas a la seguridad del servidor</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security.html">1.3.4. Amenazas a las estaciones de trabajo y s
 eguridad en equipos hogareÃ±os</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Common_Exploits_and_Attacks.html">1.4. Ataques y debilidades comunes</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Security_Updates.html">1.5. Actualizaciones de seguridad</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Security_Updates.html#sect-Security_Guide-Security_Updates-Updating_Packages">1.5.1. ActualizaciÃ³n de paquetes</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Updating_Packages-Verifying_Signed_Packages.html">1.5.2. VerificaciÃ³n de paquetes firmados</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Updating_Packages-Installing_Signed_Packages.html">1.5.3. InstalaciÃ³n de paquetes firmados</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Updating_Packages-Applying_the_Changes.html">1.5.4. AplicaciÃ³n de los cambios</a></span></dt></dl
 ></dd></dl></div><div class="para">
		Debido a la creciente necesidad de utilizaciÃ³n de poderosas computadoras conectadas en red para poder mantener una empresa en funcionamiento, y para poder realizar seguimientos de nuestra informaciÃ³n personal, se han desarrollado industrias enteras dedicadas a la prÃ¡ctica de la seguridad de redes y computadoras. Numerosas empresas han solicitado la pericia y el conocimiento de expertos en seguridad para poder controlar correctamente sus sistemas, y para que diseÃ±en soluciones adecuadas a los requerimientos operativos de la organizaciÃ³n. Debido a la naturaleza dinÃ¡mica de muchas de estas organizaciones, donde los trabajadores deben tener acceso a los recursos informÃ¡ticos, ya sea en forma local o remota, la necesidad de entornos de computaciÃ³n seguros se ha hecho mÃ¡s pronunciada.
	</div><div class="para">
		Unfortunately, most organizations (as well as individual users) regard security as an afterthought, a process that is overlooked in favor of increased power, productivity, and budgetary concerns. Proper security implementation is often enacted postmortem â€” <span class="emphasis"><em>after</em></span> an unauthorized intrusion has already occurred. Security experts agree that taking the correct measures prior to connecting a site to an untrusted network, such as the Internet, is an effective means of thwarting most attempts at intrusion.
	</div><div xml:lang="es-ES" class="section" title="1.1. IntroducciÃ³n a la Seguridad"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Introduction_to_Security">1.1. IntroducciÃ³n a la Seguridad</h2></div></div></div><div class="section" title="1.1.1. Â¿QuÃ© es la seguridad en computaciÃ³n?"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Introduction_to_Security-What_is_Computer_Security">1.1.1. Â¿QuÃ© es la seguridad en computaciÃ³n?</h3></div></div></div><div class="para">
			La nociÃ³n de seguridad en computaciÃ³n es un concepto general que cubre un Ã¡rea muy extensa dentro del Ã¡mbito de la computaciÃ³n y del procesamiento de la informaciÃ³n. Las industrias que dependen tanto de redes como de sistemas de computaciÃ³n para poder realizar cotidianamente operaciones comerciales, o para acceder a diverso tipo de informaciÃ³n vital, entienden que sus datos son una parte importante de sus activos. Han ingresado a nuestro vocabulario cotidiano diversos tÃ©rminos y unidades de mediciÃ³n pertenecientes al Ã¡mbito comercial, como ser por ejemplo, el coste total de propiedad (TCO, por las iniciales en inglÃ©s de Total Cost of Ownership), o servicio de calidad (QoS, por las iniciales en inglÃ©s de Quality of Service). Al utilizar estas unidades, las industrias pueden calcular aspectos tales como ser la integridad de los datos, o el tipo de disponibilidad que tienen, y poder considerarlos parte de los costos de planeamiento y administraciÃ³n de procesos. 
 En algunas industrias, como la del comercio electrÃ³nico por ejemplo, el tipo de disponibilidad y la confiabilidad de los datos puede ser un elemento determinante para el Ã©xito o el fracaso.
		</div><div class="section" title="1.1.1.1. Â¿De dÃ³nde viene la idea de seguridad en computaciÃ³n?"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-What_is_Computer_Security-How_did_Computer_Security_Come_about">1.1.1.1. Â¿De dÃ³nde viene la idea de seguridad en computaciÃ³n?</h4></div></div></div><div class="para">
				La seguridad en la informaciÃ³n ha evolucionado con el correr de los aÃ±os debido al aumento en la utilizaciÃ³n de redes pÃºblicas y el consecuente riesgo de exposiciÃ³n que en ellas tienen los datos privados, confidenciales o financieros. Existen numerosos antecedentes, como el caso Mitnick <sup>[<a id="d0e412" href="#ftn.d0e412" class="footnote">1</a>]</sup> o Vladimir Levin <sup>[<a id="d0e416" href="#ftn.d0e416" class="footnote">2</a>]</sup>, que sugieren a todas las organizaciones de cualquier tipo de industria, replantearse la forma en que tienen organizado el manejo de su propia informaciÃ³n, o de la manera en que es transmitida y revelada. La popularidad que tiene Internet es uno de los motivos fundamentales gracias al cual se han intensificado los esfuerzos relacionados con la seguridad en los datos.
			</div><div class="para">
				Un nÃºmero creciente de personas estÃ¡ utilizando sus computadoras personales para obtener acceso a los recursos que ofrece Internet. Desde investigaciÃ³n y obtenciÃ³n de informaciÃ³n hasta el correo electrÃ³nico y transacciones comerciales, Internet es considerada como uno de los desarrollos mÃ¡s importantes del siglo 20.
			</div><div class="para">
				Sin embargo, Internet y sus primeros protocolos fueron desarrollados como un sistema <em class="firstterm">basado en la confianza</em>. Esto significa que el Protocolo de Internet no fue diseÃ±ado para ser seguro en sÃ mismo. No existen estÃ¡ndares de seguridad aprobados dentro del bloque de comunicaciones TCP/IP, dejÃ¡ndolo indefenso ante usuarios o procesos de la red potencialmente daÃ±inos. Desarrollos modernos han hecho de las comunicaciones en Internet algo mÃ¡s seguro, pero todavÃa existen varios incidentes que acaparan la atenciÃ³n mundial, y nos recuerdan el hecho de que nada es completamente seguro.
			</div></div><div class="section" title="1.1.1.2. La seguridad hoy"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-What_is_Computer_Security-Security_Today">1.1.1.2. La seguridad hoy</h4></div></div></div><div class="para">
				En febrero del aÃ±o 2000 un ataque de denegaciÃ³n de servicio distribuido (DDoS, por las iniciales en inglÃ©s de Distributed Denial of Service) fue liberado sobre varios de los sitios de Internet que tenÃan mÃ¡s trÃ¡fico. Este ataque afectÃ³ a yahoo.com, cnn.com, amazon.com, fbi.gov y algunos otros sitios que son completamente inaccesibles para los usuarios normales, dejando a los enrutadores bloqueados durante varias horas con transferencias de grandes paquetes ICMP, o tambiÃ©n denominado un <em class="firstterm">ping de la muerte</em>. El ataque fue llevado a cabo por asaltantes desconocidos utilizando programas especialmente creados (y que estÃ¡n a disposiciÃ³n de cualquiera), que buscan servidores de red vulnerables, instalan en esos servidores aplicaciones de cliente denominadas <em class="firstterm">troyanos</em>, y sincronizando un ataque con cada servidor infectado, inundando los sitios elegidos y dejÃ¡ndolos inutilizables. Muchos adjudican el Ã©xito del ataque a
  fallas fundamentales en la forma en que estÃ¡n estructurados los enrutadores y los protocolos que utilizan. Estas fallas tienen que ver con la manera en que se aceptan los datos entrantes, sin importar desde dÃ³nde provengan, o con quÃ© propÃ³sito los paquetes hayan sido enviados.
			</div><div class="para">
				En el aÃ±o 2007, una pÃ©rdida de datos permitiÃ³ la explotaciÃ³n de una debilidad bien conocida en el protocolo de encriptaciÃ³n inalÃ¡mbrica WEP (por las iniciales en inglÃ©s de Wired Equivalent Privacy), que resultÃ³ en el robo de 45 millones de nÃºmeros de tarjetas de crÃ©ditos de una instituciÃ³n financiera global.<sup>[<a id="d0e440" href="#ftn.d0e440" class="footnote">3</a>]</sup>
			</div><div class="para">
				En otro incidente, los registros de facturaciÃ³n de 2,2 millones de pacientes fueron robados del asiento de un vehÃculo de cadeterÃa, al encontrarse almacenados en una cinta de respaldo. <sup>[<a id="d0e446" href="#ftn.d0e446" class="footnote">4</a>]</sup>
			</div><div class="para">
				Actualmente, se estima que 1,4 mil millones de personas usan o usaron Internet alrededor del mundo <sup>[<a id="d0e452" href="#ftn.d0e452" class="footnote">5</a>]</sup>. Al mismo tiempo:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						En cualquier dÃa, hay aproximadamente 225 incidentes principales de brechas de seguridad informados al Centro de CoordinaciÃ³n CERT en la Universidad de Carnegie Mellon.<sup>[<a id="d0e460" href="#ftn.d0e460" class="footnote">6</a>]</sup>
					</div></li><li class="listitem"><div class="para">
						En el aÃ±o 2003, el nÃºmero de incidencias CERT informadas ascendiÃ³ a 137.529 de los 82.094 informados en el aÃ±o 2002, y de los 52.658 en el 2001.<sup>[<a id="d0e467" href="#ftn.d0e467" class="footnote">7</a>]</sup>
					</div></li><li class="listitem"><div class="para">
						El impacto econÃ³mico a nivel mundial de los virus de Internet mÃ¡s peligrosos de los Ãºltimos tres aÃ±os se estimÃ³ en U$S 13,2 mil millones.<sup>[<a id="d0e474" href="#ftn.d0e474" class="footnote">8</a>]</sup>
					</div></li></ul></div><div class="para">
				Del informe global "El Estado Global de la Seguridad de la InformaciÃ³n"<sup>[<a id="d0e480" href="#ftn.d0e480" class="footnote">9</a>]</sup>, realizado por <span class="emphasis"><em>CIO Magazine</em></span> en el aÃ±o 2008 sobre diferentes negocios y ejecutivos en tecnologÃas, se extrae lo siguiente:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						SÃ³lo el 43% de los encuestados audita o monitorea el cumplimiento de las polÃticas de seguridad de sus usuarios
					</div></li><li class="listitem"><div class="para">
						SÃ³lo el 22% mantiene un inventario de las compaÃ±Ãas externas que utilizan sus datos
					</div></li><li class="listitem"><div class="para">
						El orÃgen de casi la mitad de los incidentes de seguridad se marcaron como "Desconocidos"
					</div></li><li class="listitem"><div class="para">
						44% de los encuestados planean incrementar sus gastos en seguridad en el aÃ±o siguiente
					</div></li><li class="listitem"><div class="para">
						59% tiene una estrategia de seguridad de la informaciÃ³n
					</div></li></ul></div><div class="para">
				Estos resultados refuerzan la realidad de que la seguridad de computadoras se ha vuelto un gasto cuantificable y justificable en los presupuestos de TI. Las organizaciones que necesitan tanto la integridad como la rÃ¡pida disponibilidad de sus datos, lo obtienen gracias a la habilidad que los administradores de sistema, desarrolladores e ingenierospara tienen para asegurar la disponibilidad de sus sistemas, servicios y datos, durante las 24 horas de los 365 dÃas del aÃ±o. Ser vÃctima de usuarios maliciosos, procesos o ataques coordinados es una amenaza directa al Ã©xito de la organizaciÃ³n.
			</div><div class="para">
				Desafortunadamente, la seguridad de sistemas y de la red puede ser una proposiciÃ³n difÃcil, que requiere un conocimiento intrincado de cÃ³mo una organizaciÃ³n expresa, usa, manipula y transmite su informaciÃ³n. El entendimiento de la forma en que una organizaciÃ³n (y la gente que la compone) conduce el negocio es primordial para implementar un plan de seguridad apropiado.
			</div></div><div class="section" title="1.1.1.3. Estandarizando la seguridad"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-What_is_Computer_Security-Standardizing_Security">1.1.1.3. Estandarizando la seguridad</h4></div></div></div><div class="para">
				Las empresas de todas las industrias confÃan en las regulaciones y en las reglas que son puestas por las personas que construyen estÃ¡ndares tales como la AsociaciÃ³n MÃ©dica Americana (AMA, por las iniciales en inglÃ©s de American Medical Association) o el Instituto de Ingenieros ElÃ©ctricos y ElectrÃ³nicos (IEEE, Institute of Electrical and Electronics Engineers). Los mismos ideales se aplican a la seguridad de la informaciÃ³n. Muchos consultores y fabricantes se ponen de acuerdo en el modelo de seguridad estÃ¡ndar conocido como CIA (Confidentiality, Integrity and Availability), o <em class="firstterm">Confidencialidad, Integridad y Disponibilidad</em>. Este modelo de 3 capas es un componente generalmente aceptado para averiguar los riesgos de la informaciÃ³n vital y del establecimiento de la polÃtica de seguridad. A continuaciÃ³n se describe el modelo CIA en mÃ¡s detalle:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						Confidencialidad â€” La informaciÃ³n vital debe estar disponible sÃ³lo para un conjunto de individuos predefinido. La transmisiÃ³n no autorizada y el uso de la informaciÃ³n se debe restringir. Por ejemplo, la confidencialidad de la informaciÃ³n asegura que la informaciÃ³n personal o financiera de un cliente no pueda ser obtenida por un individuo no autorizado para propÃ³sitos malÃ©ficos tales como el robo de identidad, o fraude crediticio.
					</div></li><li class="listitem"><div class="para">
						Integridad â€” La informaciÃ³n no debe alterarse de manera tal que se torne incompleta o incorrecta. Los usuarios no autorizados deben ser restringidos de la habilidad de modificar o destruir informaciÃ³n vital.
					</div></li><li class="listitem"><div class="para">
						Disponibilidad â€” La informaciÃ³n debe ser accesible a usuarios autorizados en cualquier momento en el que sea necesario. La disponibilidad es una garantÃa de que la informaciÃ³n se puede obtener en una frecuencia y duraciÃ³n preestablecida. Esto se mide a menudo en tÃ©rminos de porcentajes y se deja sentado formalmente en Acuerdos de Disponibilidad del Servicio (SLAs, por las iniciales en inglÃ©s de Service Level Agreements) con los proveedores de servicios de red y sus clientes empresariales.
					</div></li></ul></div></div></div><div class="section" title="1.1.2. SELinux"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Introduction_to_Security-SELinux">1.1.2. SELinux</h3></div></div></div><div class="para">
			Fedora includes an enhancement to the Linux kernel called SELinux, which implements a Mandatory Access Control (MAC) architecture that provides a fine-grained level of control over files, processes, users and applications in the system. Detailed discussion of SELinux is beyond the scope of this document; however, for more information on SELinux and its use in Fedora, refer to the Fedora SELinux User Guide available at <a href="http://docs.fedoraproject.org/selinux-user-guide/">http://docs.fedoraproject.org/selinux-user-guide/</a>. For more information on configuring and running services in Fedora that are protected by SELinux, refer to the SELinux Managing Confined Services Guide available at <a href="http://docs.fedoraproject.org/selinux-managing-confined-services-guide/">http://docs.fedoraproject.org/selinux-managing-confined-services-guide</a>. Other available resources for SELinux are listed in <a class="xref" href="chap-Security_Guide-References.html" title="CapÃtulo
  7. Referencias">CapÃtuloÂ 7, <i>Referencias</i></a>.
		</div></div><div class="section" title="1.1.3. Controles de seguridad"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Introduction_to_Security-Security_Controls">1.1.3. Controles de seguridad</h3></div></div></div><div class="para">
			La seguridad de computadoras es a menudo dividida en tres categorÃas principales distintas, comÃºnmente referidas como <em class="wordasword">controles</em>:
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					FÃsico
				</div></li><li class="listitem"><div class="para">
					TÃ©cnico
				</div></li><li class="listitem"><div class="para">
					Asministrativo
				</div></li></ul></div><div class="para">
			Estas tres amplias categorÃas definen los objetivos principales de una implementaciÃ³n de seguridad apropiada. Dentro de estos controles existen subcategorÃas que ofrecen mayores caracterÃsticas, o brindan informaciÃ³n acerca de su correcta implementaciÃ³n.
		</div><div class="section" title="1.1.3.1. Control fÃsico"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Security_Controls-Physical_Controls">1.1.3.1. Control fÃsico</h4></div></div></div><div class="para">
				El control fÃsico es la implementaciÃ³n de medidas de seguridad en una estructura definida, utilizado para determinar o evitar el acceso no autorizado a material sensible. Ejemplos de controles fÃsicos son:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						Circuito cerrado de cÃ¡maras de vigilancia
					</div></li><li class="listitem"><div class="para">
						Sistemas de alarma de movimientos, o termales
					</div></li><li class="listitem"><div class="para">
						Guardias de la seguridad
					</div></li><li class="listitem"><div class="para">
						IDs de Imagen
					</div></li><li class="listitem"><div class="para">
						Puertas de acero bloqueadas y selladas
					</div></li><li class="listitem"><div class="para">
						BiometrÃa (incluye huellas digitales, voz, cara, iris, escritura manual y otros mÃ©todos automatizados usados para reconocer a los individuos)
					</div></li></ul></div></div><div class="section" title="1.1.3.2. TÃ©cnicas de control"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Security_Controls-Technical_Controls">1.1.3.2. TÃ©cnicas de control</h4></div></div></div><div class="para">
				Los controles tÃ©cnicos usan la tecnologÃa como una base para el control del acceso y del uso de datos sensibles a travÃ©s de una estructura fÃsica y sobre una red. Los controles tÃ©cnicos son de largo alcance y abarcan tecnologÃas como:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						EncriptaciÃ³n
					</div></li><li class="listitem"><div class="para">
						Tarjetas inteligentes
					</div></li><li class="listitem"><div class="para">
						AutenticaciÃ³n de red
					</div></li><li class="listitem"><div class="para">
						Listas de control de acceso (ACLs)
					</div></li><li class="listitem"><div class="para">
						Software para auditar la integridad de archivos
					</div></li></ul></div></div><div class="section" title="1.1.3.3. Controles administrativos"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Security_Controls-Administrative_Controls">1.1.3.3. Controles administrativos</h4></div></div></div><div class="para">
				Los controles administrativos definen los factores humanos de la seguridad. Involucran todos los niveles del personal dentro de una organizaciÃ³n y determinan quÃ© usuarios tienen acceso a quÃ© recursos y la informaciÃ³n por tales medios como:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						CapacitaciÃ³n y conocimientos
					</div></li><li class="listitem"><div class="para">
						PreparaciÃ³n para desastres y planes de recuperaciÃ³n
					</div></li><li class="listitem"><div class="para">
						Reclutamiento de personal y estrategias de separaciÃ³n
					</div></li><li class="listitem"><div class="para">
						RegistraciÃ³n y control del personal
					</div></li></ul></div></div></div><div class="section" title="1.1.4. ConclusiÃ³n"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Introduction_to_Security-Conclusion">1.1.4. ConclusiÃ³n</h3></div></div></div><div class="para">
			Ahora que ya conoce los orÃgenes, las razones y los aspectos de la seguridad, encontrarÃ¡ mÃ¡s fÃ¡cil determinar el rumbo apropiado con respecto a Fedora. Es importante conocer quÃ© factores y condiciones hacen a la seguridad para planear e implementar una estrategia apropiada. Con esta informaciÃ³n en mente, el proceso se puede formalizar y los caminos a seguir se hacen mÃ¡s claros a medida que profundiza en los detalles del proceso de seguridad.
		</div></div></div><div class="footnotes"><br/><hr/><div class="footnote"><p><sup>[<a id="ftn.d0e412" href="#d0e412" class="para">1</a>] </sup>
					http://law.jrank.org/pages/3791/Kevin-Mitnick-Case-1999.html
				</p></div><div class="footnote"><p><sup>[<a id="ftn.d0e416" href="#d0e416" class="para">2</a>] </sup>
					http://www.livinginternet.com/i/ia_hackers_levin.htm
				</p></div><div class="footnote"><p><sup>[<a id="ftn.d0e440" href="#d0e440" class="para">3</a>] </sup>
					http://www.theregister.co.uk/2007/05/04/txj_nonfeasance/
				</p></div><div class="footnote"><p><sup>[<a id="ftn.d0e446" href="#d0e446" class="para">4</a>] </sup>
					http://www.healthcareitnews.com/story.cms?id=9408
				</p></div><div class="footnote"><p><sup>[<a id="ftn.d0e452" href="#d0e452" class="para">5</a>] </sup>
					http://www.internetworldstats.com/stats.htm
				</p></div><div class="footnote"><p><sup>[<a id="ftn.d0e460" href="#d0e460" class="para">6</a>] </sup>
							http://www.cert.org
						</p></div><div class="footnote"><p><sup>[<a id="ftn.d0e467" href="#d0e467" class="para">7</a>] </sup>
							http://www.cert.org/stats/fullstats.html
						</p></div><div class="footnote"><p><sup>[<a id="ftn.d0e474" href="#d0e474" class="para">8</a>] </sup>
							http://www.newsfactor.com/perl/story/16407.html
						</p></div><div class="footnote"><p><sup>[<a id="ftn.d0e480" href="#d0e480" class="para">9</a>] </sup>
					http://www.csoonline.com/article/454939/The_Global_State_of_Information_Security_
				</p></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="We_Need_Feedback.html"><strong>Anterior</strong>2. Â¡Necesitamos sus comentarios!</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Vulnerability_Assessment.html"><strong>Siguiente</strong>1.2. EvaluaciÃ³n de debilidades</a></li></ul></body></html>

--- NEW FILE chap-Security_Guide-Software_Maintenance.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>CapÃtulo 6. Mantenimiento de Software</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="index.html" title="guÃa de seguridad"/><link rel="prev" href="sect-Security_Guide-Secure_Installation-Utilize_LUKS_Partition_Encryption.html" title="5.2. Utilice encriptado de particiones mediante LUKS"/><link rel="next" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates.html" title="6.2. Planifique y configure actualizaciones de seguridad"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><i
 mg src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Secure_Installation-Utilize_LUKS_Partition_Encryption.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="chapter" title="CapÃtulo 6. Mantenimiento de Software"><div class="titlepage"><div><div><h2 class="title" id="chap-Security_Guide-Software_Maintenance">CapÃtulo 6. Mantenimiento de Software</h2></div></div></div><div class="toc"><dl><dt><span class="section"><a href="chap-Security_Guide-Software_Maintenance.html#sect-Security_Guide-Software_Maintenance-Install_Minimal_Software">6.1. Instale el software mÃnimo</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Upda
 tes.html">6.2. Planifique y configure actualizaciones de seguridad</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates-Adjusting_Automatic_Updates.html">6.3. Ajustando las actualizaciones automÃ¡ticas</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Software_Maintenance-Install_Signed_Packages_from_Well_Known_Repositories.html">6.4. Instale paquetes identificados desde repositorios conocidos</a></span></dt></dl></div><div class="para">
		Una manutenciÃ³n adecuada del software es extremadamente importante a la hora de asegurar un sistema. Es fundamental enmendar software que presenta un fallo en el momento inmediato a la apariciÃ³n de la soluciÃ³n, de modo de evitar que atacantes que conocen ese fallo, lo aprovechen y se infiltren en su sistema.
	</div><div class="section" title="6.1. Instale el software mÃnimo"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Software_Maintenance-Install_Minimal_Software">6.1. Instale el software mÃnimo</h2></div></div></div><div class="para">
			La mejor forma de proceder es instalando solo los paquetes que se van a utilizar, ya que cada pieza de software en su computadora posiblemente pueda contener algÃºn tipo de debilidad. Si estÃ¡ realizando una instalaciÃ³n desde un DVD, dese la oportunidad de elegir exactamente quÃ© paquetes quiere instalar en este proceso. Si se da cuenta que necesita otro paquete, siempre puede agregÃ¡rselo luego al sistema.
		</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Secure_Installation-Utilize_LUKS_Partition_Encryption.html"><strong>Anterior</strong>5.2. Utilice encriptado de particiones mediante L...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates.html"><strong>Siguiente</strong>6.2. Planifique y configure actualizaciones de se...</a></li></ul></body></html>

--- NEW FILE index.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>guÃa de seguridad</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><meta name="description" content="The Linux Security Guide is designed to assist users of Linux in learning the processes and practices of securing workstations and servers against local and remote intrusion, exploitation, and malicious activity. Focused on Fedora Linux but detailing concepts and techniques valid for all Linux systems, The Linux Security Guide details the planning and the tools involved in creating a secured computing environment for the data center, workplace, and home. With proper administrative knowledge, vigilance, and tools, systems running Linux can be both fully functional and secured from most common intrusion and exploit methods."/><link rel="home" href="index.html" ti
 tle="guÃa de seguridad"/><link rel="next" href="pref-Security_Guide-Preface.html" title="Prefacio"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"/><li class="next"><a accesskey="n" href="pref-Security_Guide-Preface.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="book" title="guÃa de seguridad"><div class="titlepage"><div><div class="producttitle"><span class="productname">Fedora</span> <span class="productnumber">12</span></div><div><h1 id="d0e1" class="title">guÃa de seguridad</h1></div><div><h2 class="subtitle">Una guÃa para la seguridad en fedora</h2></div><p class="edition">EdiciÃ³n 1.1</p><div><h3 class="corpauthor">
						<span class="inlinemediaobject"><object data="Common_Content/images/title_logo.svg" type="image/svg+xml"> Logo</object></span>
					</h3></div><div><div xml:lang="es-ES" class="authorgroup"><div class="author"><h3 class="author"><span class="firstname">Johnray</span> <span class="surname">Fuller</span></h3><div class="affiliation"><span class="orgname">Red Hat</span></div><code class="email"><a class="email" href="mailto:jrfuller at redhat.com">jrfuller at redhat.com</a></code></div><div class="author"><h3 class="author"><span class="firstname">John</span> <span class="surname">Ha</span></h3><div class="affiliation"><span class="orgname">Red Hat</span></div><code class="email"><a class="email" href="mailto:jha at redhat.com">jha at redhat.com</a></code></div><div class="author"><h3 class="author"><span class="firstname">David</span> <span class="surname">O'Brien</span></h3><div class="affiliation"><span class="orgname">Red Hat</span></div><code class="email"><a class="email" href="mailto:daobrien at redhat.com">daobrien at redhat.com</a></code></div><div class="author"><h3 class="author"><span class="firstname">Scott<
 /span> <span class="surname">Radvan</span></h3><div class="affiliation"><span class="orgname">Red Hat</span></div><code class="email"><a class="email" href="mailto:sradvan at redhat.com">sradvan at redhat.com</a></code></div><div class="author"><h3 class="author"><span class="firstname">Eric</span> <span class="surname">Christensen</span></h3><div class="affiliation"><span class="orgname">Fedora Project</span> <span class="orgdiv">Documentation Team</span></div><code class="email"><a class="email" href="mailto:sparks at fedoraproject.org">sparks at fedoraproject.org</a></code></div></div></div><hr/><div><div id="d0e31" class="legalnotice"><h1 class="legalnotice">aviso legal</h1><div class="para">
		Copyright <span class="trademark"/>Â© 2009 Red Hat, Inc.
	</div><div class="para">
		The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attributionâ€“Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at <a href="http://creativecommons.org/licenses/by-sa/3.0/">http://creativecommons.org/licenses/by-sa/3.0/</a>. The original authors of this document, and Red Hat, designate the Fedora Project as the "Attribution Party" for purposes of CC-BY-SA. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
	</div><div class="para">
		Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
	</div><div class="para">
		Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, MetaMatrix, Fedora, the Infinity Logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries. 
	</div><div class="para">
		For guidelines on the permitted uses of the Fedora trademarks, refer to <a href="https://fedoraproject.org/wiki/Legal:Trademark_guidelines">https://fedoraproject.org/wiki/Legal:Trademark_guidelines</a>.
	</div><div class="para">
		<span class="trademark">Linux</span>Â® is the registered trademark of Linus Torvalds in the United States and other countries. 
	</div><div class="para">
		All other trademarks are the property of their respective owners.
	</div></div></div><div><div class="abstract" title="Resumen"><h6>Resumen</h6><div class="para">The Linux Security Guide is designed to assist users of Linux in
learning the processes and practices of securing workstations and
servers against local and remote intrusion, exploitation, and
malicious activity.</div><div class="para">Focused on Fedora Linux but detailing concepts and techniques valid
for all Linux systems, The Linux Security Guide details the
planning and the tools involved in creating a secured computing
environment for the data center, workplace, and home.</div><div class="para">With proper administrative knowledge, vigilance, and tools, systems
running Linux can be both fully functional and secured from most
common intrusion and exploit methods.</div></div></div></div><hr/></div><div class="toc"><dl><dt><span class="preface"><a href="pref-Security_Guide-Preface.html">Prefacio</a></span></dt><dd><dl><dt><span class="section"><a href="pref-Security_Guide-Preface.html#d0e111">1. Convenciones del documento</a></span></dt><dd><dl><dt><span class="section"><a href="pref-Security_Guide-Preface.html#d0e121">1.1. Convenciones tipogrÃ¡ficas</a></span></dt><dt><span class="section"><a href="pref-Security_Guide-Preface.html#d0e337">1.2. Convenciones del documento</a></span></dt><dt><span class="section"><a href="pref-Security_Guide-Preface.html#d0e356">1.3. Notas y advertencias</a></span></dt></dl></dd><dt><span class="section"><a href="We_Need_Feedback.html">2. Â¡Necesitamos sus comentarios!</a></span></dt></dl></dd><dt><span class="chapter"><a href="chap-Security_Guide-Security_Overview.html">1. Repaso sobre seguridad</a></span></dt><dd><dl><dt><span class="section"><a href="chap-Security_
 Guide-Security_Overview.html#sect-Security_Guide-Introduction_to_Security">1.1. IntroducciÃ³n a la Seguridad</a></span></dt><dd><dl><dt><span class="section"><a href="chap-Security_Guide-Security_Overview.html#sect-Security_Guide-Introduction_to_Security-What_is_Computer_Security">1.1.1. Â¿QuÃ© es la seguridad en computaciÃ³n?</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Security_Overview.html#sect-Security_Guide-Introduction_to_Security-SELinux">1.1.2. SELinux</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Security_Overview.html#sect-Security_Guide-Introduction_to_Security-Security_Controls">1.1.3. Controles de seguridad</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Security_Overview.html#sect-Security_Guide-Introduction_to_Security-Conclusion">1.1.4. ConclusiÃ³n</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Vulnerability_Assessment.html">1.2. EvaluaciÃ³n de debilidades
 </a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Vulnerability_Assessment.html#sect-Security_Guide-Vulnerability_Assessment-Thinking_Like_the_Enemy">1.2.1. Pensando como el enemigo</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Vulnerability_Assessment-Defining_Assessment_and_Testing.html">1.2.2. Definiendo evaluaciÃ³n y pruebas</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html">1.2.3. Herramientas de evaluaciÃ³n</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Attackers_and_Vulnerabilities.html">1.3. Atacantes y vulnerabilidades</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Attackers_and_Vulnerabilities.html#sect-Security_Guide-Attackers_and_Vulnerabilities-A_Quick_History_of_Hackers">1.3.1. Una breve reseÃ±a acerca de los hackers</a></span></dt><dt><span class="section"><a href="sect-Secur
 ity_Guide-Attackers_and_Vulnerabilities-Threats_to_Network_Security.html">1.3.2. Amenazas a la seguridad de la red</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html">1.3.3. Amenazas a la seguridad del servidor</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security.html">1.3.4. Amenazas a las estaciones de trabajo y seguridad en equipos hogareÃ±os</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Common_Exploits_and_Attacks.html">1.4. Ataques y debilidades comunes</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Security_Updates.html">1.5. Actualizaciones de seguridad</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Security_Updates.html#sect-Security_Guide-Security_Updates-Updating_Packages">1.5.1. ActualizaciÃ³n de paquetes</a>
 </span></dt><dt><span class="section"><a href="sect-Security_Guide-Updating_Packages-Verifying_Signed_Packages.html">1.5.2. VerificaciÃ³n de paquetes firmados</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Updating_Packages-Installing_Signed_Packages.html">1.5.3. InstalaciÃ³n de paquetes firmados</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Updating_Packages-Applying_the_Changes.html">1.5.4. AplicaciÃ³n de los cambios</a></span></dt></dl></dd></dl></dd><dt><span class="chapter"><a href="chap-Security_Guide-Securing_Your_Network.html">2. Asegurando su Red</a></span></dt><dd><dl><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security">2.1. Seguridad de la estaciÃ³n de trabajo</a></span></dt><dd><dl><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Evaluating_Workstation_Security">2.1.1. Evalu
 aciÃ³n de la seguridad de la estaciÃ³n de trabajo</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-BIOS_and_Boot_Loader_Security">2.1.2. Seguridad en el BIOS y en el gestor de arranque</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Password_Security">2.1.3. Seguridad de contraseÃ±as</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Administrative_Controls">2.1.4. Controles administrativos</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Available_Network_Services">2.1.5. Servicios de red disponibles</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstatio
 n_Security-Personal_Firewalls">2.1.6. Cortafuegos personales</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Security_Enhanced_Communication_Tools">2.1.7. Herramientas de comunicaciÃ³n de seguridad mejorada</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Server_Security.html">2.2. Seguridad del servidor</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Server_Security.html#sect-Security_Guide-Server_Security-Securing_Services_With_TCP_Wrappers_and_xinetd">2.2.1. Asegurando los servicios con encapsuladores TCP y xinetd</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Securing_Portmap.html">2.2.2. Asegurando Portmap</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Securing_NIS.html">2.2.3. Asegurando NIS</a></span></dt><dt><span class="section"><a href="sec
 t-Security_Guide-Server_Security-Securing_NFS.html">2.2.4. Asegurando NFS</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Securing_the_Apache_HTTP_Server.html">2.2.5. Asegurando el servidor HTTP Apache</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Securing_FTP.html">2.2.6. Asegurando FTP</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Securing_Sendmail.html">2.2.7. Asegurando Sendmail</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening.html">2.2.8. Verificar quÃ© puertos estÃ¡n abiertos</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Single_Sign_on_SSO.html">2.3. IdentificaciÃ³n Ãºnica (SSO, por las iniciales en inglÃ©s de Single Sign-on)</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Single_Sign_on_SSO.html#sect-Security_Guide-Si
 ngle_Sign_on_SSO-Introduction">2.3.1. IntroducciÃ³n</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Single_Sign_on_SSO-Getting_Started_with_your_new_Smart_Card.html">2.3.2. Empezar a utilizar su nueva tarjeta inteligente</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Enrollment_Works.html">2.3.3. Como funciona la inscripciÃ³n de las tarjetas inteligentes.</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Login_Works.html">2.3.4. CÃ³mo funciona el ingreso con tarjeta inteligente</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Single_Sign_on_SSO-Configuring_Firefox_to_use_Kerberos_for_SSO.html">2.3.5. Configurar Firefox para la utilizaciÃ³n de Kerberos como SSO</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html">2.4. MÃ³dulos de autenticaciÃ³n conectables
  (PAM, por las iniciales en inglÃ©s de Pluggable Authentication Modules)</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html#sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Advantages_of_PAM">2.4.1. Ventajas de PAM</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_Files.html">2.4.2. Archivos de configuraciÃ³n de PAM</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html">2.4.3. Formato del archivo de configuraciÃ³n de PAM</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Sample_PAM_Configuration_Files.html">2.4.4. Ejemplos de archivos de configuraciÃ³n de PAM</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Creating_PAM_Modules
 .html">2.4.5. CreaciÃ³n de los mÃ³dulos PAM</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Administrative_Credential_Caching.html">2.4.6. PAM y el cacheo de la credencial administrativa</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership.html">2.4.7. PAM y la propiedad de los dispositivos</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources.html">2.4.8. Recursos adicionales</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html">2.5. Encapsuladores TCP y xinetd</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html#sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers">2.5.1. Encapsuladores TCP</a></span></dt><dt><span class="section"><a href="sect-
 Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html">2.5.2. Archivos de configuraciÃ³n de los encapsuladores TCP</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd.html">2.5.3. xinetd</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html">2.5.4. Archivos de configuraciÃ³n de xinetd</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html">2.5.5. Recursos adicionales</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Kerberos.html">2.6. Kerberos</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Kerberos.html#sect-Security_Guide-Kerberos-What_is_Kerberos">2.6.1. Â¿QuÃ© es Kerberos?</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Kerberos_Terminology.html">2.6.2. TerminologÃa de Kerbe
 ros</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-How_Kerberos_Works.html">2.6.3. Como Funciona Kerberos</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Kerberos_and_PAM.html">2.6.4. Kerberos y PAM</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Server.html">2.6.5. Configurando un servidor Kerberos 5</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Client.html">2.6.6. ConfiguraciÃ³n de un Cliente Kerberos 5</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Domain_to_Realm_Mapping.html">2.6.7. Mapeo dominio-a-reinado</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Setting_Up_Secondary_KDCs.html">2.6.8. Configurando KDCs secundarios</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Setting_Up_Cross_Realm_Authenticatio
 n.html">2.6.9. Configurando la autenticaciÃ³n cruzada de reinados</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Additional_Resources.html">2.6.10. Recursos adicionales</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html">2.7. Redes privadas virtuales (VPNs, por las iniciales en inglÃ©s de Virtual Private Networks)</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html#sect-Security_Guide-Virtual_Private_Networks_VPNs-How_Does_a_VPN_Work">2.7.1. Â¿CÃ³mo funciona una VPN?</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-VPNs_and_PROD.html">2.7.2. VPNs y Fedora</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec.html">2.7.3. IPsec</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks
 _VPNs-Creating_an_IPsec_Connection.html">2.7.4. Creando una conexiÃ³n <abbr class="abbrev">IPsec</abbr></a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Installation.html">2.7.5. InstalaciÃ³n de IPsec</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html">2.7.6. ConfiguraciÃ³n de IPsec equipo-a-equipo</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html">2.7.7. ConfiguraciÃ³n IPsec red-a-red</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Starting_and_Stopping_an_IPsec_Connection.html">2.7.8. Iniciar y detener una conexiÃ³n <abbr class="abbrev">IPsec</abbr></a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Firewalls.html">2.8. Cortafuegos</a></span></dt><dd><dl><dt><
 span class="section"><a href="sect-Security_Guide-Firewalls.html#sect-Security_Guide-Firewalls-Netfilter_and_IPTables">2.8.1. Netfilter e IPTables</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html">2.8.2. ConfiguraciÃ³n bÃ¡sica de un cortafuego</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-Using_IPTables.html">2.8.3. Uso de IPTables</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-Common_IPTables_Filtering.html">2.8.4. Filtrado comÃºn de IPTables</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html">2.8.5. Reglas <code class="computeroutput">FORWARD</code> y <acronym class="acronym">NAT</acronym></a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-Malicious_Software_and_Spoofed_IP_Addresses.html">2.8.6. Software malicioso y suplantaciÃ³n de direcciones IP </a></span><
 /dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-IPTables_and_Connection_Tracking.html">2.8.7. IPTables y el seguimiento de la conexiÃ³n</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-IPv6.html">2.8.8. IPv6</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-Additional_Resources.html">2.8.9. Recursos adicionales</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-IPTables.html">2.9. IPTables</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-IPTables.html#sect-Security_Guide-IPTables-Packet_Filtering">2.9.1. Filtrado de Paquete</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html">2.9.2. Opciones de la lÃnea de comandos de IPTables</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-IPTables-Saving_IPTables_Rules.html">2.9.3. Guardando las reglas de IPTalbes</a></
 span></dt><dt><span class="section"><a href="sect-Security_Guide-IPTables-IPTables_Control_Scripts.html">2.9.4. Programas de control de IPTables</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-IPTables-IPTables_and_IPv6.html">2.9.5. IPTables e IPv6</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-IPTables-Additional_Resources.html">2.9.6. Recursos adicionales</a></span></dt></dl></dd></dl></dd><dt><span class="chapter"><a href="chap-Security_Guide-Encryption.html">3. EncriptaciÃ³n</a></span></dt><dd><dl><dt><span class="section"><a href="chap-Security_Guide-Encryption.html#sect-Security_Guide-Encryption-Data_at_Rest">3.1. Datos en reposo</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-Protecting_Data_at_Rest-Full_Disk_Encryption.html">3.2. EncriptaciÃ³n completa del disco</a></span></dt><dt><span class="section"><a href="Security_Guide-Encryption-Protecting_Data_at_Rest-File_Based_Encryption.html">3.
 3. EncriptaciÃ³n basada en archivo</a></span></dt><dt><span class="section"><a href="Security_Guide-Encryption-Data_in_Motion.html">3.4. Datos en movimiento</a></span></dt><dt><span class="section"><a href="Security_Guide-Encryption-Data_in_Motion-Virtual_Private_Networks.html">3.5. Redes privadas virtuales (VPNs)</a></span></dt><dt><span class="section"><a href="Security_Guide-Encryption-Data_in_Motion-Secure_Shell.html">3.6. Shell seguro (SSH, por las iniciales en inglÃ©s de Secure Shell)</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-LUKS_Disk_Encryption.html">3.7. EncriptaciÃ³n de disco LUKS (Linux Unified Key Setup-on-disk-format)</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-LUKS_Disk_Encryption.html#sect-Security_Guide-LUKS_Disk_Encryption-LUKS_Implementation_in_Fedora">3.7.1. ImplementaciÃ³n de LUKS en Fedora</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encry
 pting_Directories.html">3.7.2. EncriptaciÃ³n manual de directorios</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-Step_by_Step_Instructions.html">3.7.3. Instrucciones paso a paso</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-What_you_have_just_accomplished.html">3.7.4. Lo que acaba de realizar</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-LUKS_Disk_Encryption-Links_of_Interest.html">3.7.5. Enlaces de interÃ©s</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html">3.8. Archivos Encriptados 7-Zip</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html#sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation">3.8.1. InstalaciÃ³n de 7-Zip en Fedora</a></span></dt><d
 t><span class="section"><a href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation-Instructions.html">3.8.2. Instrucciones paso a paso para su instalaciÃ³n</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Usage_Instructions.html">3.8.3. Instrucciones paso a paso para su utilizaciÃ³n</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Things_of_note.html">3.8.4. Elementos para prestar atenciÃ³n</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Encryption-Using_GPG.html">3.9. Utilizando GNU Privacy Guard (GnuPG)</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Encryption-Using_GPG.html#sect-Security_Guide-Encryption-Using_GPG-Keys_in_GNOME">3.9.1. Crear claves GPG en GNOME</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE1.htm
 l">3.9.2. Crear claves GPG en KDE</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE.html">3.9.3. Crear una clave GPG mediante la lÃnea de comandos</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-Using_GPG-About_Public_Key_Encryption.html">3.9.4. Acerca del encriptado de la clave pÃºblica</a></span></dt></dl></dd></dl></dd><dt><span class="chapter"><a href="chap-Security_Guide-General_Principles_of_Information_Security.html">4. Principios Generales sobre la Seguridad de la InformaciÃ³n</a></span></dt><dd><dl><dt><span class="section"><a href="chap-Security_Guide-General_Principles_of_Information_Security.html#sect-Security_Guide-General_Principles_of_Information_Security-Tips_Guides_and_Tools">4.1. Consejos, GuÃas y Herramientas</a></span></dt></dl></dd><dt><span class="chapter"><a href="chap-Security_Guide-Secure_Installation.html">5. InstalaciÃ³n segura</a></span></dt><dd><d
 l><dt><span class="section"><a href="chap-Security_Guide-Secure_Installation.html#sect-Security_Guide-Secure_Installation-Disk_Partitions">5.1. Particiones del disco</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Secure_Installation-Utilize_LUKS_Partition_Encryption.html">5.2. Utilice encriptado de particiones mediante LUKS</a></span></dt></dl></dd><dt><span class="chapter"><a href="chap-Security_Guide-Software_Maintenance.html">6. Mantenimiento de Software</a></span></dt><dd><dl><dt><span class="section"><a href="chap-Security_Guide-Software_Maintenance.html#sect-Security_Guide-Software_Maintenance-Install_Minimal_Software">6.1. Instale el software mÃnimo</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates.html">6.2. Planifique y configure actualizaciones de seguridad</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_
 Security_Updates-Adjusting_Automatic_Updates.html">6.3. Ajustando las actualizaciones automÃ¡ticas</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Software_Maintenance-Install_Signed_Packages_from_Well_Known_Repositories.html">6.4. Instale paquetes identificados desde repositorios conocidos</a></span></dt></dl></dd><dt><span class="chapter"><a href="chap-Security_Guide-References.html">7. Referencias</a></span></dt></dl></div></div><ul class="docnav"><li class="previous"/><li class="next"><a accesskey="n" href="pref-Security_Guide-Preface.html"><strong>Siguiente</strong>Prefacio</a></li></ul></body></html>

--- NEW FILE pref-Security_Guide-Preface.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>Prefacio</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="index.html" title="guÃa de seguridad"/><link rel="prev" href="index.html" title="guÃa de seguridad"/><link rel="next" href="We_Need_Feedback.html" title="2. Â¡Necesitamos sus comentarios!"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="index.html"><strong>Anterior</strong></a></li><li class="next"><a acces
 skey="n" href="We_Need_Feedback.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="preface" title="Prefacio"><div class="titlepage"><div><div><h1 id="pref-Security_Guide-Preface" class="title">Prefacio</h1></div></div></div><div xml:lang="es-ES" class="section" title="1. Convenciones del documento"><div class="titlepage"><div><div><h2 class="title" id="d0e111">1. Convenciones del documento</h2></div></div></div><div class="para">
		Este manual utiliza varias convenciones para resaltar algunas palabras y frases y llamar la atenciÃ³n sobre ciertas partes especÃficas de informaciÃ³n.
	</div><div class="para">
		En ediciones PDF y de papel, este manual utiliza tipos de letra procedentes de <a href="https://fedorahosted.org/liberation-fonts/">Liberation Fonts</a>. Liberation Fonts tambiÃ©n se utilizan en ediciones de HTML si estÃ¡n instalados en su sistema. Si no, se muestran tipografÃas alternativas pero equivalentes. Nota: Red Hat Enterprise Linux 5 y siguientes incluyen Liberation Fonts predeterminadas.
	</div><div class="section" title="1.1. Convenciones tipogrÃ¡ficas"><div class="titlepage"><div><div><h3 class="title" id="d0e121">1.1. Convenciones tipogrÃ¡ficas</h3></div></div></div><div class="para">
			Se utilizan cuatro convenciones tipogrÃ¡ficas para llamar la atenciÃ³n sobre palabras o frases especÃficas. Dichas convenciones y las circunstancias en que se aplican son las siguientes:
		</div><div class="para">
			<code class="literal">Negrita monoespaciado</code>
		</div><div class="para">
			Utilizada para resaltar la entrada del sistema, incluyendo comandos de shell, nombres de archivo y rutas. TambiÃ©n se utiliza para resaltar teclas claves y combinaciones de teclas.
		</div><div class="blockquote"><blockquote class="blockquote"><div class="para">
				To see the contents of the file <code class="filename">my_next_bestselling_novel</code> in your current working directory, enter the <code class="command">cat my_next_bestselling_novel</code> command at the shell prompt and press <span class="keycap"><strong>Enter</strong></span> to execute the command.
			</div></blockquote></div><div class="para">
			The above includes a file name, a shell command and a key cap, all presented in Mono-spaced Bold and all distinguishable thanks to context.
		</div><div class="para">
			Key-combinations can be distinguished from key caps by the hyphen connecting each part of a key-combination. For example:
		</div><div class="blockquote"><blockquote class="blockquote"><div class="para">
				Press <span class="keycap"><strong>Enter</strong></span> to execute the command.
			</div><div class="para">
				Press <span class="keycap"><strong>Ctrl</strong></span>+<span class="keycap"><strong>Alt</strong></span>+<span class="keycap"><strong>F1</strong></span> to switch to the first virtual terminal. Press <span class="keycap"><strong>Ctrl</strong></span>+<span class="keycap"><strong>Alt</strong></span>+<span class="keycap"><strong>F7</strong></span> to return to your X-Windows session.
			</div></blockquote></div><div class="para">
			The first sentence highlights the particular key cap to press. The second highlights two sets of three key caps, each set pressed simultaneously.
		</div><div class="para">
			If source code is discussed, class names, methods, functions, variable names and returned values mentioned within a paragraph will be presented as above, in <code class="literal">Mono-spaced Bold</code>. For example:
		</div><div class="blockquote"><blockquote class="blockquote"><div class="para">
				File-related classes include <code class="classname">filesystem</code> for file systems, <code class="classname">file</code> for files, and <code class="classname">dir</code> for directories. Each class has its own associated set of permissions.
			</div></blockquote></div><div class="para">
			<span class="application"><strong>Proportional Bold</strong></span>
		</div><div class="para">
			This denotes words or phrases encountered on a system, including application names; dialogue box text; labelled buttons; check-box and radio button labels; menu titles and sub-menu titles. For example:
		</div><div class="blockquote"><blockquote class="blockquote"><div class="para">
				Choose <span class="guimenu"><strong>System > Preferences > Mouse</strong></span> from the main menu bar to launch <span class="application"><strong>Mouse Preferences</strong></span>. In the <span class="guilabel"><strong>Buttons</strong></span> tab, click the <span class="guilabel"><strong>Left-handed mouse</strong></span> check box and click <span class="guibutton"><strong>Close</strong></span> to switch the primary mouse button from the left to the right (making the mouse suitable for use in the left hand).
			</div><div class="para">
				To insert a special character into a <span class="application"><strong>gedit</strong></span> file, choose <span class="guimenu"><strong>Applications > Accessories > Character Map</strong></span> from the main menu bar. Next, choose <span class="guimenu"><strong>Search > Findâ€¦</strong></span> from the <span class="application"><strong>Character Map</strong></span> menu bar, type the name of the character in the <span class="guilabel"><strong>Search</strong></span> field and click <span class="guibutton"><strong>Next</strong></span>. The character you sought will be highlighted in the <span class="guilabel"><strong>Character Table</strong></span>. Double-click this highlighted character to place it in the <span class="guilabel"><strong>Text to copy</strong></span> field and then click the <span class="guibutton"><strong>Copy</strong></span> button. Now switch back to your document and choose <span class="guimenu"><strong>Edit > Paste</strong></span> from the <
 span class="application"><strong>gedit</strong></span> menu bar.
			</div></blockquote></div><div class="para">
			The above text includes application names; system-wide menu names and items; application-specific menu names; and buttons and text found within a GUI interface, all presented in Proportional Bold and all distinguishable by context.
		</div><div class="para">
			Note the <span class="guimenu"><strong> ></strong></span> shorthand used to indicate traversal through a menu and its sub-menus. This is to avoid the difficult-to-follow 'Select <span class="guimenuitem"><strong>Mouse</strong></span> from the <span class="guimenu"><strong>Preferences</strong></span> sub-menu in the <span class="guimenu"><strong>System</strong></span> menu of the main menu bar' approach.
		</div><div class="para">
			<code class="command"><em class="replaceable"><code>Mono-spaced Bold Italic</code></em></code> or <span class="application"><strong><em class="replaceable"><code>Proportional Bold Italic</code></em></strong></span>
		</div><div class="para">
			Whether Mono-spaced Bold or Proportional Bold, the addition of Italics indicates replaceable or variable text. Italics denotes text you do not input literally or displayed text that changes depending on circumstance. For example:
		</div><div class="blockquote"><blockquote class="blockquote"><div class="para">
				To connect to a remote machine using ssh, type <code class="command">ssh <em class="replaceable"><code>username</code></em>@<em class="replaceable"><code>domain.name</code></em></code> at a shell prompt. If the remote machine is <code class="filename">example.com</code> and your username on that machine is john, type <code class="command">ssh john at example.com</code>.
			</div><div class="para">
				The <code class="command">mount -o remount <em class="replaceable"><code>file-system</code></em></code> command remounts the named file system. For example, to remount the <code class="filename">/home</code> file system, the command is <code class="command">mount -o remount /home</code>.
			</div><div class="para">
				To see the version of a currently installed package, use the <code class="command">rpm -q <em class="replaceable"><code>package</code></em></code> command. It will return a result as follows: <code class="command"><em class="replaceable"><code>package-version-release</code></em></code>.
			</div></blockquote></div><div class="para">
			Note the words in bold italics above â€” username, domain.name, file-system, package, version and release. Each word is a placeholder, either for text you enter when issuing a command or for text displayed by the system.
		</div><div class="para">
			Aside from standard usage for presenting the title of a work, italics denotes the first use of a new and important term. For example:
		</div><div class="blockquote"><blockquote class="blockquote"><div class="para">
				When the Apache HTTP Server accepts requests, it dispatches child processes or threads to handle them. This group of child processes or threads is known as a <em class="firstterm">server-pool</em>. Under Apache HTTP Server 2.0, the responsibility for creating and maintaining these server-pools has been abstracted to a group of modules called <em class="firstterm">Multi-Processing Modules</em> (<em class="firstterm">MPMs</em>). Unlike other modules, only one module from the MPM group can be loaded by the Apache HTTP Server.
			</div></blockquote></div></div><div class="section" title="1.2. Convenciones del documento"><div class="titlepage"><div><div><h3 class="title" id="d0e337">1.2. Convenciones del documento</h3></div></div></div><div class="para">
			Dos, usualmente de varias lÃneas, los tipos de datos se distinguen visualmente del texto circundante.
		</div><div class="para">
			Salida enviada a una terminal estÃ¡ establecida en tipo <code class="computeroutput">romano monoespaciado</code> y presentada asÃ:
		</div><pre class="screen">libros        Escritorio   documentaciÃ³n  borradores  mss    fotos   cosas  svn
libros_tests  Escritorio1  descargas      imÃ¡genes  notas  scripts  svgs
</pre><div class="para">
			Los listados de cÃ³digo fuente tambiÃ©n se establecen en <code class="computeroutput">romano monoespaciado</code>, pero se presentan y resaltan de la siguiente manera:
		</div><pre class="programlisting">package org.jboss.book.jca.ex1;

import javax.naming.InitialContext;

public class ExClient
{
   public static void main(String args[]) 
       throws Exception
   {
      InitialContext iniCtx = new InitialContext();
      Object         ref    = iniCtx.lookup("EchoBean");
      EchoHome       home   = (EchoHome) ref;
      Echo           echo   = home.create();

      System.out.println("Created Echo");

      System.out.println("Echo.echo('Hello') = " + echo.echo("Hello"));
   }

}
</pre></div><div class="section" title="1.3. Notas y advertencias"><div class="titlepage"><div><div><h3 class="title" id="d0e356">1.3. Notas y advertencias</h3></div></div></div><div class="para">
			Finalmente, utilizamos tres estilos visuales para llamar la atenciÃ³n sobre la informaciÃ³n que de otro modo se podrÃa pasar por alto.
		</div><div class="note"><h2>Nota</h2><div class="para">
				Una nota es una sugerencia, atajo o enfoque alternativo que se tiene a mano para la tarea. Ignorar una nota no deberÃa tener consecuencias negativas, pero podrÃa perderse de algunos trucos que pueden facilitarle las cosas.
			</div></div><div class="important"><h2>Importante</h2><div class="para">
				Los cuadros de importante dan detalles de cosas que se pueden pasar por alto fÃ¡cilmente: cambios de configuraciÃ³n Ãºnicamente aplicables a la sesiÃ³n actual, o servicios que necesitan reiniciarse antes de que se aplique una actualizaciÃ³n. Ignorar estos cuadros de importante no ocasionarÃ¡ pÃ©rdida de datos, pero puede causar enfado y frustraciÃ³n.
			</div></div><div class="warning"><h2>Advertencia</h2><div class="para">
				Las advertencias no deben ignorarse. Ignorarlas muy probablemente ocasionarÃ¡ pÃ©rdida de datos.
			</div></div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="index.html"><strong>Anterior</strong>guÃa de seguridad</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="We_Need_Feedback.html"><strong>Siguiente</strong>2. Â¡Necesitamos sus comentarios!</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Additional_Resources-Related_Books.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.5.3. Libros relacionados</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html" title="2.5.5. Recursos adicionales"/><link rel="prev" href="sect-Security_Guide-Additional_Resources-Useful_TCP_Wrappers_Websites.html" title="2.5.5.2. Sitios web Ãºtiles relacionados con encapsuladores TCP"/><link rel="next" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/ima
 ges/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Useful_TCP_Wrappers_Websites.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.5.5.3. Libros relacionados"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Related_Books">2.5.5.3. Libros relacionados</h4></div></div></div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<em class="citetitle">Hacking Linux Exposed</em> por Brian Hatch, James Lee, y George Kurtz; Osbourne/McGraw-Hill â€” Una herramienta de seguridad excelente con informaciÃ³n acerca de encapsuladores TCP y <code class="systemitem">xinetd</code>.
					</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Useful_TCP_Wrappers_Websites.html"><strong>Anterior</strong>2.5.5.2. Sitios web Ãºtiles relacionados con encap...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos.html"><strong>Siguiente</strong>2.6. Kerberos</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Additional_Resources-Related_Documentation.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.9.3. DocumentaciÃ³n relacionada</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Firewalls-Additional_Resources.html" title="2.8.9. Recursos adicionales"/><link rel="prev" href="sect-Security_Guide-Additional_Resources-Useful_Firewall_Websites.html" title="2.8.9.2. Sitios web Ãºtiles de cortafuego"/><link rel="next" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documen
 tation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Useful_Firewall_Websites.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.8.9.3. DocumentaciÃ³n relacionada"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Related_Documentation">2.8.9.3. DocumentaciÃ³n relacionada</h4></div></div></div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<em class="citetitle">Red Hat Linux Firewalls</em>, por Bill McCarty; Red Hat Press â€” un manual de referencia completo para poder levantar cortafuegos de red o de servidores, utilizando tecnologÃa de cÃ³digo abierto para filtrado de paquetes, como por ejemplo Netfilter o <code class="command">iptables</code>. Los temas que se tratan van desde el anÃ¡lisis de logs de cortafuegos, desarrollo de reglas de cortafuegos, y diferentes mÃ©todos de personalizaciÃ³n del cortafuegos utilizando numerosas herramientas grÃ¡ficas.
					</div></li><li class="listitem"><div class="para">
						<em class="citetitle">Linux Firewalls</em>, por Robert Ziegler; New Riders Press â€” contiene gran cantidad de informaciÃ³n para poder levantar cortafuegos utilizando tanto <code class="command">ipchains</code> de un kernel 2.2, como Netfilter o <code class="command">iptables</code>. TambiÃ©n son tratados otros temas relacionados con la seguridad, como problemas con el acceso remoto, o detecciÃ³n de intrusos en el sistema.
					</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Useful_Firewall_Websites.html"><strong>Anterior</strong>2.8.9.2. Sitios web Ãºtiles de cortafuego</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables.html"><strong>Siguiente</strong>2.9. IPTables</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Additional_Resources-Useful_Firewall_Websites.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.9.2. Sitios web Ãºtiles de cortafuego</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Firewalls-Additional_Resources.html" title="2.8.9. Recursos adicionales"/><link rel="prev" href="sect-Security_Guide-Firewalls-Additional_Resources.html" title="2.8.9. Recursos adicionales"/><link rel="next" href="sect-Security_Guide-Additional_Resources-Related_Documentation.html" title="2.8.9.3. DocumentaciÃ³n relacionada"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/ima
 ges/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-Additional_Resources.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Related_Documentation.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.8.9.2. Sitios web Ãºtiles de cortafuego"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Useful_Firewall_Websites">2.8.9.2. Sitios web Ãºtiles de cortafuego</h4></div></div></div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<a href="http://www.netfilter.org/">http://www.netfilter.org/</a> â€” La pÃ¡gina oficial del proyecto Netfilter e <code class="command">iptables</code>.
					</div></li><li class="listitem"><div class="para">
						<a href="http://www.tldp.org/">http://www.tldp.org/</a> â€” El Proyecto de DocumentaciÃ³n de Linux contiene varias guÃas Ãºtiles sobre la creaciÃ³n y administraciÃ³n de cortafuegos.
					</div></li><li class="listitem"><div class="para">
						<a href="http://www.iana.org/assignments/port-numbers">http://www.iana.org/assignments/port-numbers</a> â€” La lista oficial de puertos de servicios comunes y registrados, segÃºn fueron asignados por IANA (Internet Assigned Numbers Authority).
					</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-Additional_Resources.html"><strong>Anterior</strong>2.8.9. Recursos adicionales</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Related_Documentation.html"><strong>Siguiente</strong>2.8.9.3. DocumentaciÃ³n relacionada</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Additional_Resources-Useful_IP_Tables_Websites.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.6.2. Sitios web Ãºtiles sobre IPTables</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-IPTables-Additional_Resources.html" title="2.9.6. Recursos adicionales"/><link rel="prev" href="sect-Security_Guide-IPTables-Additional_Resources.html" title="2.9.6. Recursos adicionales"/><link rel="next" href="chap-Security_Guide-Encryption.html" title="CapÃtulo 3. EncriptaciÃ³n"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Si
 te"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables-Additional_Resources.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-Encryption.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.9.6.2. Sitios web Ãºtiles sobre IPTables"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Useful_IP_Tables_Websites">2.9.6.2. Sitios web Ãºtiles sobre IPTables</h4></div></div></div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<a href="http://www.netfilter.org/">http://www.netfilter.org/</a> â€” El hogar del proyecto netfilter/iptables. Contiene informaciÃ³n ordenada acerca de <code class="command">iptables</code>, incluyendo un FAQ que describe problemas especÃficos, y varias guÃas Ãºtiles realizadas por Rusty Russell, el encargado del cortafuegos para IP de Linux. Los diferentes tutoriales del sitio abarcan diferentes temas, como ser por ejemplo, una descripciÃ³n de los conceptos bÃ¡sicos de trabajo en redes, filtros de paquetes del kernel y configuraciones NAT.
					</div></li><li class="listitem"><div class="para">
						<a href="http://www.linuxnewbie.org/nhf/Security/IPtables_Basics.html">http://www.linuxnewbie.org/nhf/Security/IPtables_Basics.html</a> â€” Una introducciÃ³n acerca de cÃ³mo los paquetes se trasladan dentro del kernel de Linux, mÃ¡s una introducciÃ³n para saber cÃ³mo construir comandos bÃ¡sicos de <code class="command">iptables</code>.
					</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables-Additional_Resources.html"><strong>Anterior</strong>2.9.6. Recursos adicionales</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-Encryption.html"><strong>Siguiente</strong>CapÃtulo 3. EncriptaciÃ³n</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Additional_Resources-Useful_Kerberos_Websites.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.6.10.2. PÃ¡ginas web Ãºtiles sobre Kerberos</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Kerberos-Additional_Resources.html" title="2.6.10. Recursos adicionales"/><link rel="prev" href="sect-Security_Guide-Kerberos-Additional_Resources.html" title="2.6.10. Recursos adicionales"/><link rel="next" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html" title="2.7. Redes privadas virtuales (VPNs, por las iniciales en inglÃ©s de Virtual Private Networks)"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://do
 cs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Additional_Resources.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.6.10.2. PÃ¡ginas web Ãºtiles sobre Kerberos"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Useful_Kerberos_Websites">2.6.10.2. PÃ¡ginas web Ãºtiles sobre Kerberos</h4></div></div></div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<a href="http://web.mit.edu/kerberos/www/">http://web.mit.edu/kerberos/www/</a> â€” <em class="citetitle">Kerberos: El Protocolo de AutenticaciÃ³n de Red</em> del MIT.
					</div></li><li class="listitem"><div class="para">
						<a href="http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html">http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html</a> â€” Las Preguntas Frecuentes de Kerberos (FAQ).
					</div></li><li class="listitem"><div class="para">
						<a href="ftp://athena-dist.mit.edu/pub/kerberos/doc/usenix.PS">ftp://athena-dist.mit.edu/pub/kerberos/doc/usenix.PS</a> â€” La versiÃ³n PostScript de <em class="citetitle">Kerberos: Un Servicio de UntenticaciÃ³n para Sistemas de Red Abierta</em> por Jennifer G. Steiner, Clifford Neuman, y Jeffrey I. Schiller. Este documento es el impreso original que describe el funcionamiento de Kerberos.
					</div></li><li class="listitem"><div class="para">
						<a href="http://web.mit.edu/kerberos/www/dialogue.html">http://web.mit.edu/kerberos/www/dialogue.html</a> â€” <em class="citetitle">Construyendo un sistema de AutenticaciÃ³n: DiÃ¡logo en Cuatro Escenas</em> originalmente realizado por Bill Bryant en 1988, modificado por Theodore Ts'o en 1997. Este documento es una conversaciÃ³n entre dos desarrolladores que estÃ¡n pensando en la creaciÃ³n de un sistema de autenticaciÃ³n, con un estilo similar al de Kerberos. El estilo de diÃ¡logo con el que se muestra la discusiÃ³n lo convierte en un excelente punto de partida para aquellos que no conozcan absolutamente nada acerca de Kerberos.
					</div></li><li class="listitem"><div class="para">
						<a href="http://www.ornl.gov/~jar/HowToKerb.html">http://www.ornl.gov/~jar/HowToKerb.html</a> â€” <em class="citetitle">CÃ³mo Kerberizar su sitio</em> es una buena referencia para kerberizar su red.
					</div></li><li class="listitem"><div class="para">
						<a href="http://www.networkcomputing.com/netdesign/kerb1.html">http://www.networkcomputing.com/netdesign/kerb1.html</a> â€” <em class="citetitle">Manual de DiseÃ±o de Red con Kerberos</em> es un repaso extenso sobre el sistema Kerberos.
					</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Additional_Resources.html"><strong>Anterior</strong>2.6.10. Recursos adicionales</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html"><strong>Siguiente</strong>2.7. Redes privadas virtuales (VPNs, por las inic...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Additional_Resources-Useful_PAM_Websites.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.8.2. Sitios web Ãºtiles sobre PAM</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources.html" title="2.4.8. Recursos adicionales"/><link rel="prev" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources.html" title="2.4.8. Recursos adicionales"/><link rel="next" href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html" title="2.5. Encapsuladores TCP y xinetd"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org">
 <img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.4.8.2. Sitios web Ãºtiles sobre PAM"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Useful_PAM_Websites">2.4.8.2. Sitios web Ãºtiles sobre PAM</h4></div></div></div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<a href="http://www.kernel.org/pub/linux/libs/pam/">http://www.kernel.org/pub/linux/libs/pam/</a> â€” El sitio web principal de distribuciÃ³n del proyecto Linux-PAM, que contiene informaciÃ³n relacionada con varios mÃ³dulos PAM, una secciÃ³n con respuestas a las preguntas mÃ¡s usuales (FAQ, por las siglas en inglÃ©s de Frequently Asked Questions), y documentaciÃ³n adicional acerca de PAM.
					</div><div class="note"><h2>Nota</h2><div class="para">
							La documentaciÃ³n en el sitio web de arriba es para la Ãºltima versiÃ³n de desarrollo lanzada de PAM y puede no ser 100% precisa para la versiÃ³n de PAM incluida en Fedora.
						</div></div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources.html"><strong>Anterior</strong>2.4.8. Recursos adicionales</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html"><strong>Siguiente</strong>2.5. Encapsuladores TCP y xinetd</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Additional_Resources-Useful_TCP_Wrappers_Websites.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.5.2. Sitios web Ãºtiles relacionados con encapsuladores TCP</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html" title="2.5.5. Recursos adicionales"/><link rel="prev" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html" title="2.5.5. Recursos adicionales"/><link rel="next" href="sect-Security_Guide-Additional_Resources-Related_Books.html" title="2.5.5.3. Libros relacionados"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraprojec
 t.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Related_Books.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.5.5.2. Sitios web Ãºtiles relacionados con encapsuladores TCP"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Useful_TCP_Wrappers_Websites">2.5.5.2. Sitios web Ãºtiles relacionados con encapsuladores TCP</h4></div></div></div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<a href="http://www.xinetd.org">http://www.xinetd.org/</a> â€” El sitio principal de <code class="systemitem">xinetd</code>, que contiene archivos de configuraciÃ³n a modo de ejemplo, lista completa de herramientas, y una secciÃ³n informativa de preguntas frecuentes (FAQ, por las iniciales en inglÃ©s de Frecuently Asked Questions).
					</div></li><li class="listitem"><div class="para">
						<a href="http://www.docstoc.com/docs/2133633/An-Unofficial-Xinetd-Tutorial">http://www.docstoc.com/docs/2133633/An-Unofficial-Xinetd-Tutorial</a> â€” Un tutorial en el que se explican diferentes formas de optimizar los archivos de configuraciÃ³n de <code class="systemitem">xinetd</code> establecidos por defecto, de manera de poder alcanzar objetivos de seguridad especÃficos.
					</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html"><strong>Anterior</strong>2.5.5. Recursos adicionales</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Related_Books.html"><strong>Siguiente</strong>2.5.5.3. Libros relacionados</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Altering_xinetd_Configuration_Files-Access_Control_Options.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.4.3.2. Opciones para el control de acceso</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html" title="2.5.4.3. AlteraciÃ³n de los archivos de configuraciÃ³n de xinetd"/><link rel="prev" href="sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html" title="2.5.4.3. AlteraciÃ³n de los archivos de configuraciÃ³n de xinetd"/><link rel="next" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Binding_and_Redirection_Options.html" title="2.5.4.3.3. Opciones de uniÃ³n y redirecciÃ³n"/></head><body class="draft "><p id="title"><a class="left" href="http://w
 ww.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Binding_and_Redirection_Options.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.5.4.3.2. Opciones para el control de acceso"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Altering_xinetd_Configuration_Files-Access_Control_Options">2.5.4.3.2. Opciones para el control de acceso</h5></div></div></div><div class="para">
					Los usuarios de los servicios <code class="systemitem">xinetd</code> pueden elegir entre utilizar las reglas de acceso de los equipos con encapsuladores TCP, o proveer control de acceso mediante los archivos de configuraciÃ³n de <code class="systemitem">xinetd</code>, o una mezcla de ambos. Para obtener mayor informaciÃ³n acerca del control de acceso de los equipos con encapsuladores TCP, consulte la <a class="xref" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html" title="2.5.2. Archivos de configuraciÃ³n de los encapsuladores TCP">SecciÃ³nÂ 2.5.2, â€œArchivos de configuraciÃ³n de los encapsuladores TCPâ€</a>.
				</div><div class="para">
					En esta secciÃ³n se desarrolla la utilizaciÃ³n de <code class="systemitem">xinetd</code> para controlar el acceso a los servicios.
				</div><div class="note"><h2>Nota</h2><div class="para">
						Al contrario que con los encapsuladores TCP, las modificaciones al control de acceso sÃ³lo tienen efecto si el administrador de <code class="systemitem">xinetd</code> reinicia el servicio <code class="systemitem">xinetd</code>.
					</div><div class="para">
						De manera similar, al contrario que los encapsuladores TCP, el control de acceso mediante <code class="systemitem">xinetd</code> solo afecta a los servicios controlados por <code class="systemitem">xinetd</code>.
					</div></div><div class="para">
					El control de acceso de los equipos con <code class="systemitem">xinetd</code> difiere del mÃ©todo utilizado por encapsuladores TCP. Mientras que los encapsuladores TCP colocan todas las configuraciones de acceso en dos archivos, <code class="filename">/etc/hosts.allow</code> y <code class="filename">/etc/hosts.deny</code>, el control de acceso de <code class="systemitem">xinetd</code> se encuentra en cada uno de los archivos de configuraciÃ³n de los servicios dentro del directorio <code class="filename">/etc/xinetd.d/</code>.
				</div><div class="para">
					Las siguientes opciones de acceso de equipos estÃ¡n soportadas por <code class="systemitem">xinetd</code>:
				</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
							<code class="option">only_from</code> â€” Permite la utilizaciÃ³n del servicio sÃ³lo a los equipos especificados.
						</div></li><li class="listitem"><div class="para">
							<code class="option">no_access</code> â€” Impide la utilizaciÃ³n del servicio a los equipos indicados.
						</div></li><li class="listitem"><div class="para">
							<code class="option">access_times</code> â€” Establece el perÃodo de tiempo en que un servicio particular puede ser utilizado. Este perÃodo debe ser indicado con notaciones en formato de 24 horas, HH:MM-HH:MM.
						</div></li></ul></div><div class="para">
					Las opciones <code class="option">only_from</code> y <code class="option">no_access</code> pueden utilizar una lista de direcciones IP o nombres de archivo, o pueden especificar una red entera. Del mismo modo que los encapsuladores TCP, combinar el control de acceso de <code class="systemitem">xinetd</code> con la configuraciÃ³n mejorada de registro puede aumentar la seguridad evitando las peticiones de los equipos bloqueados, al mismo tiempo que se registra cada intento de conexiÃ³n.
				</div><div class="para">
					Por ejemplo, el siguiente archivo <code class="filename">/etc/xinetd.d/telnet</code> puede utilizarse para bloquear accesos Telnet desde un grupo de determinado, y restringir el tiempo total en que pueden registrarse incluso los usuarios autorizados:
				</div><pre class="screen">service telnet
{
         disable         = no
         flags           = REUSE
         socket_type     = stream
         wait            = no
         user            = root
         server          = /usr/kerberos/sbin/telnetd
         log_on_failure  += USERID
         no_access       = 172.16.45.0/24
         log_on_success  += PID HOST EXIT
         access_times    = 09:45-16:15
}
</pre><div class="para">
					En este ejemplo, cuando un sistema de cliente de la red <code class="systemitem">10.0.1.0/24</code>, como por ejemplo <code class="systemitem">10.0.1.2</code> intenta acceder al servicio Telnet, recibe el siguiente mensaje:
				</div><pre class="screen">ConexiÃ³n cerrada por el equipo remoto.
</pre><div class="para">
					AdemÃ¡s, sus intentos de registro son almacenados en <code class="filename">/var/log/messages</code> de la manera siguiente:
				</div><pre class="screen">Sep  7 14:58:33 localhost xinetd[5285]: FAIL: telnet address from=172.16.45.107
Sep  7 14:58:33 localhost xinetd[5283]: START: telnet pid=5285 from=172.16.45.107
Sep  7 14:58:33 localhost xinetd[5283]: EXIT: telnet status=0 pid=5285 duration=0(sec)
</pre><div class="para">
					Al utilizar encapsuladores TCP junto con control de acceso <code class="systemitem">xinetd</code>, es importante comprender la relaciÃ³n entre ambos mecanismos de control de acceso.
				</div><div class="para">
					La siguiente es la secuencia de eventos que realiza <code class="systemitem">xinetd</code> cada vez que un cliente solicite una conexiÃ³n:
				</div><div class="orderedlist"><ol><li class="listitem"><div class="para">
							El demonio <code class="systemitem">xinetd</code> obtiene las reglas de acceso de los equipos con encapsuladores TCP, utilizando una llamada de biblioteca <code class="filename">libwrap.a</code>. Si una regla de negaciÃ³n concuerda con el cliente, se abandona la conexiÃ³n. Si una regla de conexiÃ³n concuerda con el cliente, la conexiÃ³n es entregada a <code class="systemitem">xinetd</code>.
						</div></li><li class="listitem"><div class="para">
							El demonio <code class="systemitem">xinetd</code> verifica sus propias reglas de control de acceso tanto para el servicio <code class="systemitem">xinetd</code>, como para el servicio solicitado. Si una regla de negaciÃ³n concuerda con el cliente, se abandona la conexiÃ³n. De lo contrario, <code class="systemitem">xinetd</code> inicia una instancia del servicio solicitado y entrega el control de la conexiÃ³n a ese servicio.
						</div></li></ol></div><div class="important"><h2>Importante</h2><div class="para">
						Hay que tener cuidado al utilizar controles de acceso con encapsuladores TCP, junto con controles de acceso de <code class="systemitem">xinetd</code>. Un error de configuraciÃ³n puede causar efectos no deseados.
					</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html"><strong>Anterior</strong>2.5.4.3. AlteraciÃ³n de los archivos de configurac...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Binding_and_Redirection_Options.html"><strong>Siguiente</strong>2.5.4.3.3. Opciones de uniÃ³n y redirecciÃ³n</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Altering_xinetd_Configuration_Files-Binding_and_Redirection_Options.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.4.3.3. Opciones de uniÃ³n y redirecciÃ³n</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html" title="2.5.4.3. AlteraciÃ³n de los archivos de configuraciÃ³n de xinetd"/><link rel="prev" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Access_Control_Options.html" title="2.5.4.3.2. Opciones para el control de acceso"/><link rel="next" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Resource_Management_Options.html" title="2.5.4.3.4. Opciones de administraciÃ³n de recursos"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org">
 <img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Access_Control_Options.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Resource_Management_Options.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.5.4.3.3. Opciones de uniÃ³n y redirecciÃ³n"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Altering_xinetd_Configuration_Files-Binding_and_Redirection_Options">2.5.4.3.3. Opciones de uniÃ³n y redirecciÃ³n</h5></div></div></div><div class="para">
					Los archivos de configuraciÃ³n del servicio <code class="systemitem">xinetd</code> tienen soporte para asociar el servicio con una direcciÃ³n IP, y redireccionar las peticiones entrantes para ese servicio hacia otra direcciÃ³n IP, nombre de equipo, o puerto.
				</div><div class="para">
					Esta asociaciÃ³n es controlada con la opciÃ³n <code class="option">bind</code> en el archivo de configuraciÃ³n especÃfico de cada servicio, y enlaza ese servicio con una direcciÃ³n IP en el sistema. Cuando esto es configurado, la opciÃ³n <code class="option">bind</code> sÃ³lo acepta peticiones para acceder al servicio de la direcciÃ³n IP correcta. Puede utilizar este mÃ©todo para asociar diferentes servicios con diferentes interfases de acuerdo a sus propias necesidades.
				</div><div class="para">
					Esto es especialmente Ãºtil para los sistemas con adaptadores de red mÃºltiples, o con mÃºltiples direcciones IP. En tales sistemas, los servicios no seguros (Telnet, por ejemplo), pueden ser configurados para que sÃ³lo escuchen en una interfaz conectada con una red privada y no con una interfaz conectada a Internet.
				</div><div class="para">
					La opciÃ³n <code class="option">redirect</code> acepta una direcciÃ³n IP o nombre de equipo seguido por un nÃºmero de puerto. Configura el servicio de modo tal de poder redireccionar cualquier peticiÃ³n para este servicio hacia el equipo y nÃºmero de puerto indicado. Esta herramienta puede ser utilizada para dirigirse hacia otro nÃºmero de puerto en el mismo sistema, redireccionar la peticiÃ³n hacia una direcciÃ³n IP diferente en la misma mÃ¡quina, intercambiar la peticiÃ³n con un sistema y nÃºmero de puerto totalmente diferente, o combinar entre ellas cualesquiera de estas opciones. Un usuario conectÃ¡ndose con un servicio determinado de un sistema, por lo tanto puede ser reruteado hacia otro sistema sin sufrir ningÃºn tipo de interrupciÃ³n.
				</div><div class="para">
					El demonio <code class="systemitem">xinetd</code> es capaz de lograr este redireccionamiento extendiendo un proceso activo durante todo el tiempo que dure la conexiÃ³n, entre la mÃ¡quina del cliente que realiza la peticiÃ³n y el equipo que efectivamente estÃ¡ proveyendo el servicio, transfiriendo los datos entre ambos sistemas.
				</div><div class="para">
					Las ventajas de <code class="option">bind</code> y <code class="option">redirect</code> se hacen mÃ¡s evidentes cuando se utilizan de manera conjunta. Al asociar un servicio con una direcciÃ³n IP determinada de un sistema, y luego redireccionar las peticiones para este servicio hacia una segunda mÃ¡quina que sÃ³lo pueda ser vista por la primera, puede entonces utilizarse un sistema interno que ofrezca servicios para una red comopletamente diferente. Alternativamente, estas opciones pueden ser utilizadas para limitar la exposiciÃ³n de un servicio determinado en una mÃ¡quina hacia una direcciÃ³n IP conocida, al mismo tiempo que redirecciona cualquier peticiÃ³n para ese servicio hacia otra mÃ¡quina configurada para ese propÃ³sito.
				</div><div class="para">
					Por ejemplo, piense en un sistema que es utilizado como un cortafuegos con la siguiente configuraciÃ³n para su servicio Telnet:
				</div><pre class="screen">service telnet
{
         socket_type                = stream
         wait                        = no
         server                        = /usr/kerberos/sbin/telnetd
         log_on_success                += DURATION USERID
         log_on_failure                += USERID
         bind                    = 123.123.123.123
         redirect                = 10.0.1.13 23
}
</pre><div class="para">
					Las opciones <code class="option">bind</code> y <code class="option">redirect</code> de este archivo aseguran que el servicio Telnet en la mÃ¡quina estÃ¡ unido a la direcciÃ³n IP externa (<code class="systemitem">123.123.123.123</code>), por medio de la cual se conecta a Internet. AdemÃ¡s, cualquier peticiÃ³n para el servicio Telnet enviada a <code class="systemitem">123.123.123.123</code>, es redireccionada hacia una direcciÃ³n IP interna mediante un segundo adaptador de red (<code class="systemitem">10.0.1.13</code>) a la que solo el cortafuegos y los sistemas internos pueden acceder. El cortafuegos entonces envÃa la comunicaciÃ©n entre ambos sistemas, y el sistema que estÃ¡ conectÃ¡ndose piensa que lo ha hecho con <code class="systemitem">123.123.123.123</code>, cuando en realidad estÃ¡ conectado con una mÃ¡quina diferente.
				</div><div class="para">
					Esta herramienta es especialmente Ãºtil para usuarios con conexiones de banda ancha que sÃ³lo posean una direcciÃ³n IP fija. Si utilizan Traductores de Direcciones de Red (NAT por las iniciales en inglÃ©s de Network Adress Translations), los sistemas detrÃ¡s de la mÃ¡quina que hace de puerta de enlace, que estÃ¡n utilizando direcciones IP sÃ³lo internas, no estÃ¡n disponibles desde fuera del sistema de puerta de enlace. Sin embargo, cuando ciertos servicios controlados por <code class="systemitem">xinetd</code> son configurados con las opciones <code class="option">bind</code> y <code class="option">redirect</code>, la mÃ¡quina que hace de puerta de enlace puede actuar como un proxy entre los sistemas externos y una mÃ¡quina interna determinada que haya sido configurada para ofrecer el servicio. AdemÃ¡s, las diferentes opciones de registro y de control de acceso de <code class="systemitem">xinetd</code>, estÃ¡n disponibles para establecer protecciÃ³n adicional.
				</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Access_Control_Options.html"><strong>Anterior</strong>2.5.4.3.2. Opciones para el control de acceso</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Resource_Management_Options.html"><strong>Siguiente</strong>2.5.4.3.4. Opciones de administraciÃ³n de recursos</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Altering_xinetd_Configuration_Files-Resource_Management_Options.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.4.3.4. Opciones de administraciÃ³n de recursos</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html" title="2.5.4.3. AlteraciÃ³n de los archivos de configuraciÃ³n de xinetd"/><link rel="prev" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Binding_and_Redirection_Options.html" title="2.5.4.3.3. Opciones de uniÃ³n y redirecciÃ³n"/><link rel="next" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html" title="2.5.5. Recursos adicionales"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/ima
 ges/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Binding_and_Redirection_Options.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.5.4.3.4. Opciones de administraciÃ³n de recursos"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Altering_xinetd_Configuration_Files-Resource_Management_Options">2.5.4.3.4. Opciones de administraciÃ³n de recursos</h5></div></div></div><div class="para">
					El demonio <code class="systemitem">xinetd</code> puede ofrecer un nivel de protecciÃ³n bÃ¡sico para los ataques de DenegaciÃ³n de Servicio (DoS, por las iniciales en inglÃ©s de Denial of Service). La siguiente es una lista de directivas que pueden ayudar a disminuir la efectividad de tales ataques:
				</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
							<code class="option">per_source</code> â€” Establece el nÃºmero mÃ¡ximo de instancias para un servicio desde cada direcciÃ³n IP. Acepta solo valores enteros como argumentos y puede ser utilizada tanto en <code class="filename">xinetd.conf</code> como en el archivo de configuraciÃ³n especÃfico del servicio en cuestiÃ³n del directorio <code class="filename">xinetd.d/</code>.
						</div></li><li class="listitem"><div class="para">
							<code class="option">cps</code> â€” Establece el numero mÃ¡ximo de conexiones por segundo. Esta directiva necesita de dos argumentos enteros separados por un espacio. El primer argumento es el nÃºmero mÃ¡ximo de conexiones permitidas por segundo al servicio. El segundo argumento es la cantidad de segundos que <code class="systemitem">xinetd</code> debe esperar antes de reactivar el servicio. Acepta solo enteros como argumentos y puede ser utilizado tanto en el archivo <code class="filename">xinetd.conf</code>, como el los archivos de configuraciÃ³n propios de cada servicio en el directorio <code class="filename">xinetd.d/</code>.
						</div></li><li class="listitem"><div class="para">
							<code class="option">max_load</code> â€” Define la utilizaciÃ³n del CPU o el umbral de carga de utilizaciÃ³n promedio de un servicio. Acepta un nÃºmero de punto flotante como argumento.
						</div><div class="para">
							La carga promedio es una medida aproximada que indica la forma en que algunos procesos estÃ¡n activos en un determinado perÃodo de tiempo. Para obtener mayor informaciÃ³n acerca de la carga promedio, vea los comandos <code class="command">uptime</code>, <code class="command">who</code>, y <code class="command">procinfo</code>
						</div></li></ul></div><div class="para">
					Existen otras opciones disponibles para la administraciÃ³n de los recursos para <code class="systemitem">xinetd</code>. Para obtener mayor informaciÃ³n, consulte la pÃ¡gina man de <code class="filename">xinetd.conf</code>.
				</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Binding_and_Redirection_Options.html"><strong>Anterior</strong>2.5.4.3.3. Opciones de uniÃ³n y redirecciÃ³n</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html"><strong>Siguiente</strong>2.5.5. Recursos adicionales</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Network_Security.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.3.2. Amenazas a la seguridad de la red</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Attackers_and_Vulnerabilities.html" title="1.3. Atacantes y vulnerabilidades"/><link rel="prev" href="sect-Security_Guide-Attackers_and_Vulnerabilities.html" title="1.3. Atacantes y vulnerabilidades"/><link rel="next" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html" title="1.3.3. Amenazas a la seguridad del servidor"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.or
 g"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Attackers_and_Vulnerabilities.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="1.3.2. Amenazas a la seguridad de la red"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Network_Security">1.3.2. Amenazas a la seguridad de la red</h3></div></div></div><div class="para">
			Malas prÃ¡cticas cuando se configuran los siguientes aspectos de una red pueden aumentar el riesgo de un ataque.
		</div><div class="section" title="1.3.2.1. Arquitecturas inseguras"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Threats_to_Network_Security-Insecure_Architectures">1.3.2.1. Arquitecturas inseguras</h4></div></div></div><div class="para">
				Una red mal configurada es el principal punto de ingreso para usuarios no autorizados. Dejar una red local, a cuyos usuarios conocemos, abierta y vulnerable a la gran inseguridad que representa Internet es casi como dejar una puerta entornada en un barrio de criminales. Tal vez no suceda nada en un determinado perÃodo de tiempo, pero <span class="emphasis"><em>en algÃºn momento</em></span>, alguien va a aprovechar esa oportunidad
			</div><div class="section" title="1.3.2.1.1. Redes emisoras"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Insecure_Architectures-Broadcast_Networks">1.3.2.1.1. Redes emisoras</h5></div></div></div><div class="para">
					System administrators often fail to realize the importance of networking hardware in their security schemes. Simple hardware such as hubs and routers rely on the broadcast or non-switched principle; that is, whenever a node transmits data across the network to a recipient node, the hub or router sends a broadcast of the data packets until the recipient node receives and processes the data. This method is the most vulnerable to address resolution protocol (<em class="firstterm">ARP</em>) or media access control (<em class="firstterm">MAC</em>) address spoofing by both outside intruders and unauthorized users on local hosts.
				</div></div><div class="section" title="1.3.2.1.2. Servidores centralizados"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Insecure_Architectures-Centralized_Servers">1.3.2.1.2. Servidores centralizados</h5></div></div></div><div class="para">
					Otro error posible de cometer dentro de una red, es el uso de computaciÃ³n centralizada. Una medida comÃºn adoptada por muchos comercios a la hora de reducir su presupuesto, es la de concentrar todos los servicios en una Ãºnica mÃ¡quina, relativamente poderosa. Esto puede ser conveniente ya que hace mÃ¡s sencillas las tareas administrativas, y el costo es econÃ³micamente inferior al de realizar configuraciones sobre varios servidores. Sin embargo, un servidor centralizado representa el Ãºnico punto de acceso a la red. Si el servidor central es vulnerado, puede inutilizar completamente a la red, o peor aÃºn, puede hacer que los datos sean fÃ¡cilmente manipulados, o directamente sustraÃdos. En estas situaciones, un servidor central se convierte en una puerta abierta que permite el acceso a la red en su totalidad.
				</div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Attackers_and_Vulnerabilities.html"><strong>Anterior</strong>1.3. Atacantes y vulnerabilidades</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html"><strong>Siguiente</strong>1.3.3. Amenazas a la seguridad del servidor</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.3.3. Amenazas a la seguridad del servidor</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Attackers_and_Vulnerabilities.html" title="1.3. Atacantes y vulnerabilidades"/><link rel="prev" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Network_Security.html" title="1.3.2. Amenazas a la seguridad de la red"/><link rel="next" href="sect-Security_Guide-Threats_to_Server_Security-Unpatched_Services.html" title="1.3.3.2. Servicios no parchados"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.f
 edoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Network_Security.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Threats_to_Server_Security-Unpatched_Services.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="1.3.3. Amenazas a la seguridad del servidor"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security">1.3.3. Amenazas a la seguridad del servidor</h3></div></div></div><div class="para">
			La seguridad del servidor es tan importante como la seguridad de la red, ya que los servidores con frecuencia retienen gran parte de la informaciÃ³n vital de una determianda organizaciÃ³n. Si el servidor es vulnerado, todos sus contenidos pueden quedar a disposiciÃ³n del atacante para ser sustraÃdos o manipulados en su totalidad. Las secciones siguientes hacen referencia a los problemas principales.
		</div><div class="section" title="1.3.3.1. Servicios no usados y puertos abiertos"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Threats_to_Server_Security-Unused_Services_and_Open_Ports">1.3.3.1. Servicios no usados y puertos abiertos</h4></div></div></div><div class="para">
				Una instalaciÃ³n completa de Fedora contiene mÃ¡s de 1000 aplicaciones y bibliotecas de paquetes. Sin embargo, muchos administradores de servidores eligen no instalar todos los paquetes de la distribuciÃ³n, y prefieren en su lugar realizar una instalaciÃ³n de los paquetes bÃ¡sicos, incluyendo algunas aplicaciones de servidor.
			</div><div class="para">
				Una actitud tÃpica entre los administradores de servidores es la de instalar el sistema operativo sin prestar atenciÃ³n a los programas que efectivamente se estÃ¡n instalando. Esto puede llegar a ser problemÃ¡tico debido a que podrÃan instalarse servicios innecesarios, configurarse con los parÃ¡metros establecidos por defecto, y posiblemente iniciarse. Esto puede causar que servicios no queridos, como Telnet, DHCP o DNS se ejecuten en un servidor o estaciÃ³n de trabajo sin que el administrador lo sepa, lo que a su vez puede generar trÃ¡fico no solicitado hacia el servidor, o incluso un posible camino de acceso al sistema para los atacantes. Para obtener mayor informaciÃ³n acerca del cierre de puertos y desconexiÃ³n de servicios que no se utilicen, vea <a class="xref" href="sect-Security_Guide-Server_Security.html" title="2.2. Seguridad del servidor">SecciÃ³nÂ 2.2, â€œSeguridad del servidorâ€</a>.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Network_Security.html"><strong>Anterior</strong>1.3.2. Amenazas a la seguridad de la red</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Threats_to_Server_Security-Unpatched_Services.html"><strong>Siguiente</strong>1.3.3.2. Servicios no parchados</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.3.4. Amenazas a las estaciones de trabajo y seguridad en equipos hogareÃ±os</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Attackers_and_Vulnerabilities.html" title="1.3. Atacantes y vulnerabilidades"/><link rel="prev" href="sect-Security_Guide-Threats_to_Server_Security-Inherently_Insecure_Services.html" title="1.3.3.4. Servicios inseguros en sÃ mismos"/><link rel="next" href="sect-Security_Guide-Threats_to_Workstation_and_Home_PC_Security-Vulnerable_Client_Applications.html" title="1.3.4.2. Aplicaciones de tipo cliente vulnerables"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/im
 ages/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Threats_to_Server_Security-Inherently_Insecure_Services.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Threats_to_Workstation_and_Home_PC_Security-Vulnerable_Client_Applications.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="1.3.4. Amenazas a las estaciones de trabajo y seguridad en equipos hogareÃ±os"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security">1.3.4. Amenazas a las estaciones de trabajo y seguridad en equipos hogareÃ±os</h3></div></div></div><div class="para">
			Las estaciones de trabajo y las PCs hogareÃ±as no son tan propensas a los ataques como lo son los servidores o las redes, pero tambiÃ©n son objeto de atacantes de sistemas, debido a que generalmente contienen datos importantes, como ser por ejemplo, informaciÃ³n de tarjetas de crÃ©dito. Las estaciones de trabajo tambiÃ©n puede ser intervenidas sin que el usuario tenga conocimiento de ello, y en el caso de un ataque coordinado, ser utilizada por los atacantes como una mÃ¡quina "esclava". Por estas razones, conocer los puntos dÃ©biles de una estaciÃ³n de trabajo puede evitarle a los usuarios el dolor de cabeza que implica tener que instalar nuevamente el sistema operativo, o peor aÃºn, recuperarse luego del robo de sus datos.
		</div><div class="section" title="1.3.4.1. Malas contraseÃ±as"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Threats_to_Workstation_and_Home_PC_Security-Bad_Passwords">1.3.4.1. Malas contraseÃ±as</h4></div></div></div><div class="para">
				Las malas contraseÃ±as son una de las formas mÃ¡s fÃ¡ciles para que un atacante obtenga el acceso a un sistema. Para informaciÃ³n sobre cÃ³mo evitar los errores comunes, vaya a <a class="xref" href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Password_Security" title="2.1.3. Seguridad de contraseÃ±as">SecciÃ³nÂ 2.1.3, â€œSeguridad de contraseÃ±asâ€</a>.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Threats_to_Server_Security-Inherently_Insecure_Services.html"><strong>Anterior</strong>1.3.3.4. Servicios inseguros en sÃ mismos</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Threats_to_Workstation_and_Home_PC_Security-Vulnerable_Client_Applications.html"><strong>Siguiente</strong>1.3.4.2. Aplicaciones de tipo cliente vulnerables</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Attackers_and_Vulnerabilities.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.3. Atacantes y vulnerabilidades</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Security_Overview.html" title="CapÃtulo 1. Repaso sobre seguridad"/><link rel="prev" href="sect-Security_Guide-Evaluating_the_Tools-Anticipating_Your_Future_Needs.html" title="1.2.3.5. Anticipando sus necesidades futuras"/><link rel="next" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Network_Security.html" title="1.3.2. Amenazas a la seguridad de la red"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fe
 doraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Evaluating_the_Tools-Anticipating_Your_Future_Needs.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Network_Security.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="section" title="1.3. Atacantes y vulnerabilidades"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Attackers_and_Vulnerabilities">1.3. Atacantes y vulnerabilidades</h2></div></div></div><div class="para">
		Para poder planificar e implementar una buena estrategia de seguridad, tenga en cuenta primero algunos de los problemas que son aprovechados por los atacantes para poder vulnerar los sistemas. Sin embargo, antes de detallar estos problemas, tenemos que definir la terminologÃa utilizada a la hora de identificar a un atacante.
	</div><div class="section" title="1.3.1. Una breve reseÃ±a acerca de los hackers"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Attackers_and_Vulnerabilities-A_Quick_History_of_Hackers">1.3.1. Una breve reseÃ±a acerca de los hackers</h3></div></div></div><div class="para">
			El significado moderno del tÃ©rmino <em class="firstterm">hacker</em> tiene sus orÃgenes en la dÃ©cada del '60, en el Tech Model Railroad Club del Instituto de TecnologÃa de Massachusetts (MIT, por las siglas en inglÃ©s de Massachusetts Institute of Technology), en donde se diseÃ±aban modelos de trenes a gran escala y con detalles muy especÃficos. "Hacker" era el nombre con el que se identificaba a los miembros del club capaces de sortear las dificultades que presentaba un determinado problema, o que descubrÃa algÃºn truco Ãºtil.
		</div><div class="para">
			Desde entonces el tÃ©rmino "hacker" se ha utilizado para referirse o bien a un aficionado en computadoras, o bien a un programador talentoso, o bien para todo lo que se encuentre entre ellos. Una caracterÃstica compartida entre cualquier tipo de "hacker" es la voluntad de investigar detalladamente cÃ³mo funciona un sistema de computadoras, o una red, con poca o ninguna motivaciÃ³n ulterior ademÃ¡s del mero hecho de investigar. Los desarrolladores de software de cÃ³digo abierto, a menudo se consideran asÃ mismos y a sus colegas como "hackers", y utilizan esta palabra como un signo de respeto.
		</div><div class="para">
			Generalmente, los hackers siguen un cÃ³digo de conducta establecido en la <em class="firstterm">etica del hacker</em>, que establece que la bÃºsqueda de informaciÃ³n y la excelencia son esenciales, y que el hecho de compartir los conocimientos adquiridos es un deber que el hacker tiene para con la comunidad. A lo largo de esta bÃºsqueda del conocimiento, algunos hackers disfrutan de los desafÃos acadÃ©micos que representan el hecho de sortear los controles de seguridad en los sistemas computarizados. Por este motivo, generalmente el periodismo utiliza el tÃ©rmino hacker para referirse a quienes acceden ilegalmente y con fines criminales, malintencionados o inescrupulosos, a redes o sistemas de computaciÃ³n. La forma mÃ¡s adecuada para referirse a este tipo de hackers es <em class="firstterm">atacante</em> â€” un tÃ©rmino creado por los hackers a mediados de la dÃ©cada del '80, para diferenciar ambas comunidades.
		</div><div class="section" title="1.3.1.1. Zonas grises"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-A_Quick_History_of_Hackers-Shades_of_Gray">1.3.1.1. Zonas grises</h4></div></div></div><div class="para">
				Existen diferentes grupos dentro de la comunidad de individuos que se dedica a encontrar y utilizar con un determinado fin las diversas vulnerabilidades en sistemas y redes. Estos grupos comÃºnmente son descritos en funciÃ³n de los rastros que dejan las herramientas que utilizan para realizar sus investigaciones, rastros que al mismo tiempo sirven para poder identificar sus intenciones.
			</div><div class="para">
				El <em class="firstterm">hacker de sombrero blanco</em> es quien examina los sistemas y las redes para conocer sus capacidades y poder determinar quÃ© tan vulnerables son ante una posible intrusiÃ³n. Generalmente, este tipo de hackers vulnera su propio sistema, o los sistemas de algÃºn cliente suyo que lo ha contratado especÃficamente con el propÃ³sito de controlar su seguridad. Investigadores acadÃ©micos y consultores profesionales en el Ã¡rea de seguridad son ejemplos de hackers de sombrero blanco.
			</div><div class="para">
				Un <em class="firstterm">hacker de sombrero negro</em> es sinÃ³nimo de atacante. Generalmente, los atacantes estÃ¡n menos interesados en la programaciÃ³n o en el aspecto acadÃ©mico a la hora de vulnerar sistemas. Usualmente utilizan una serie de programas desarrollados exclusivamente para atacar y vulnerar los aspectos de un sistema que de antemano se sabe que pueden llegar a fallar, y los utilizan para dejar al descubierto informaciÃ³n valiosa en tales sistemas o redes, o para obtener un beneficio personal, o simplemente para causar daÃ±o.
			</div><div class="para">
				Por otro lado, un <em class="firstterm">hacker de sombrero gris</em> tiene la habilidad de un hacker de sombrero blanco, y en la mayorÃa de los casos tambiÃ©n sus intenciones, pero en algunas ocasiones utiliza su conocimiento para propÃ³sitos no tan nobles. Puede pensarse en un hacker de sombrero gris como un hacker de sombrero blanco, que a veces utiliza un sombrero negro para cumplir con objetivos personales.
			</div><div class="para">
				Generalmente los hackers de sombrero gris se rigen por una norma diferente de la Ã©tica del hacker, que establece que es aceptable vulnerar sistemas, siempre y cuando el hacker no cometa ningÃºn delito ni haga pÃºblico aquello que es considerado privado. Sin embargo, alguien podrÃa argumentar, que el acto de vulnerar un sistema es en sÃ mismo un acto no Ã©tico.
			</div><div class="para">
				Sin importar la intenciÃ³n del intruso, es importante conocer la debilidad que un atacante puede intentar explotar. El resto del capÃtulo se centra en estas cuestiones.
			</div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Evaluating_the_Tools-Anticipating_Your_Future_Needs.html"><strong>Anterior</strong>1.2.3.5. Anticipando sus necesidades futuras</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Network_Security.html"><strong>Siguiente</strong>1.3.2. Amenazas a la seguridad de la red</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Basic_Firewall_Configuration-Activating_the_IPTables_Service.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.2.6. Activando el servicio IPTables</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html" title="2.8.2. ConfiguraciÃ³n bÃ¡sica de un cortafuego"/><link rel="prev" href="sect-Security_Guide-Basic_Firewall_Configuration-Saving_the_Settings.html" title="2.8.2.5. Guardando la configuraciÃ³n"/><link rel="next" href="sect-Security_Guide-Firewalls-Using_IPTables.html" title="2.8.3. Uso de IPTables"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img sr
 c="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Basic_Firewall_Configuration-Saving_the_Settings.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-Using_IPTables.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.8.2.6. Activando el servicio IPTables"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Basic_Firewall_Configuration-Activating_the_IPTables_Service">2.8.2.6. Activando el servicio IPTables</h4></div></div></div><div class="para">
				Las reglas del cortafuego estÃ¡n solamente activas si el servicio <code class="command">iptables</code> se estÃ¡ ejecutando. Para iniciar manualmente el servicio, use el siguiente comando:
			</div><pre class="screen">[root at miServidor ~] # service iptables restart
</pre><div class="para">
				Para asegurarse de que <code class="command">iptables</code> se inicie cuando el sistema arranque, use el siguiente comando:
			</div><pre class="screen">[root at miServidor ~] # chkconfig --level 345 iptables on
</pre></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Basic_Firewall_Configuration-Saving_the_Settings.html"><strong>Anterior</strong>2.8.2.5. Guardando la configuraciÃ³n</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-Using_IPTables.html"><strong>Siguiente</strong>2.8.3. Uso de IPTables</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Basic_Firewall_Configuration-Enabling_and_Disabling_the_Firewall.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.2.2. Habilitando y deshabilitando el cortafuego</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html" title="2.8.2. ConfiguraciÃ³n bÃ¡sica de un cortafuego"/><link rel="prev" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html" title="2.8.2. ConfiguraciÃ³n bÃ¡sica de un cortafuego"/><link rel="next" href="sect-Security_Guide-Basic_Firewall_Configuration-Trusted_Services.html" title="2.8.2.3. Servicios confiables"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href
 ="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Basic_Firewall_Configuration-Trusted_Services.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.8.2.2. Habilitando y deshabilitando el cortafuego"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Basic_Firewall_Configuration-Enabling_and_Disabling_the_Firewall">2.8.2.2. Habilitando y deshabilitando el cortafuego</h4></div></div></div><div class="para">
				Seleccione una de las opciones siguientes para el cortafuego:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<span class="guilabel"><strong>Deshabilitado</strong></span> â€” Deshabilitar el cortafuegos proporciona un acceso completo a su sistema y no se realiza ninguna verificaciÃ³n de seguridad. Esto debe ser seleccionado sÃ³lo si estÃ¡ ejecutando una red segura (no Internet), o necesite configurar un cortafuego personalizado utilizando la herramienta de la lÃnea de comandos iptables.
					</div><div class="warning"><h2>Advertencia</h2><div class="para">
							Las configuraciones del cortafuego y cualquier reglas de cortafuegos personalizadas se almacenan en el archivo <code class="filename">/etc/sysconfig/iptables</code>. Si elije <span class="guilabel"><strong>Deshabilitado</strong></span> y hace clic en <span class="guibutton"><strong>Aceptar</strong></span>, estas configuraciones y reglas del cortafuego se perderÃ¡n.
						</div></div></li><li class="listitem"><div class="para">
						<span class="guilabel"><strong>Habilitado</strong></span> â€” Esta opciÃ³n configura el sistema para rechazar conexiones entrantes que no una respuesta a peticiones que han sido realizadas, tales como respuestas DNS o peticiones DHCP. Si se necesita el acceso a servicios de esta mÃ¡quina, puede elegir habilitar servicios especÃficos a travÃ©s del cortafuego.
					</div><div class="para">
						Si estÃ¡ conectando su sistema a Internet, pero no planea hacerlo funcionar como servidor, esta es la opciÃ³n mÃ¡s segura.
					</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html"><strong>Anterior</strong>2.8.2. ConfiguraciÃ³n bÃ¡sica de un cortafuego</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Basic_Firewall_Configuration-Trusted_Services.html"><strong>Siguiente</strong>2.8.2.3. Servicios confiables</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Basic_Firewall_Configuration-Other_Ports.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.2.4. Otros Puertos</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html" title="2.8.2. ConfiguraciÃ³n bÃ¡sica de un cortafuego"/><link rel="prev" href="sect-Security_Guide-Basic_Firewall_Configuration-Trusted_Services.html" title="2.8.2.3. Servicios confiables"/><link rel="next" href="sect-Security_Guide-Basic_Firewall_Configuration-Saving_the_Settings.html" title="2.8.2.5. Guardando la configuraciÃ³n"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.o
 rg"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Basic_Firewall_Configuration-Trusted_Services.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Basic_Firewall_Configuration-Saving_the_Settings.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.8.2.4. Otros Puertos"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Basic_Firewall_Configuration-Other_Ports">2.8.2.4. Otros Puertos</h4></div></div></div><div class="para">
				La <span class="application"><strong>herramienta de configuraciÃ³n de cortafuegos</strong></span> incluye una secciÃ³n de <span class="guilabel"><strong>Otros Puertos</strong></span> para especificar puertos IP personalizados de modo tal de considerarlos como seguros por <code class="command">iptables</code>. Por ejemplo, para permitir que protocolos IRC o de impresiÃ³n a travÃ©s de Internet (IPP, por las siglas en inglÃ©s de Internet Printing Protocol) pasen a travÃ©s del cortafuegos, aÃ±ada la siguiente lÃnea a la secciÃ³n de <span class="guilabel"><strong>Other ports</strong></span>:
			</div><div class="para">
				<code class="computeroutput">194:tcp,631:tcp</code>
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Basic_Firewall_Configuration-Trusted_Services.html"><strong>Anterior</strong>2.8.2.3. Servicios confiables</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Basic_Firewall_Configuration-Saving_the_Settings.html"><strong>Siguiente</strong>2.8.2.5. Guardando la configuraciÃ³n</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Basic_Firewall_Configuration-Saving_the_Settings.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.2.5. Guardando la configuraciÃ³n</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html" title="2.8.2. ConfiguraciÃ³n bÃ¡sica de un cortafuego"/><link rel="prev" href="sect-Security_Guide-Basic_Firewall_Configuration-Other_Ports.html" title="2.8.2.4. Otros Puertos"/><link rel="next" href="sect-Security_Guide-Basic_Firewall_Configuration-Activating_the_IPTables_Service.html" title="2.8.2.6. Activando el servicio IPTables"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://doc
 s.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Basic_Firewall_Configuration-Other_Ports.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Basic_Firewall_Configuration-Activating_the_IPTables_Service.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.8.2.5. Guardando la configuraciÃ³n"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Basic_Firewall_Configuration-Saving_the_Settings">2.8.2.5. Guardando la configuraciÃ³n</h4></div></div></div><div class="para">
				Haga clic en <span class="guibutton"><strong>OK</strong></span> para guardar los cambios y activar o desactivar el cortafuegos. Si fue seleccionado <span class="guilabel"><strong>Activar cortafuegos</strong></span>, las opciones seleccionadas serÃ¡n trasladadas a los comandos <code class="command">iptables</code> y escritos en el archivo <code class="filename">/etc/sysconfig/iptables</code>. El servicio <code class="command">iptables</code> es tambiÃ©n iniciado de modo que el cortafuegos sea activado inmediatamente luego de guardar las opciones seleccionadas. Si fue seleccionado <span class="guilabel"><strong>Desactivar cortafuegos</strong></span>, el archivo <code class="filename">/etc/sysconfig/iptables</code> es eliminado y el servicio <code class="command">iptables</code> es inmediatamente detenido.
			</div><div class="para">
				Las opciones seleccionadas son tambiÃ©n escritas al archivo <code class="filename">/etc/sysconfig/system-config-securitylevel</code> para que la configuraciÃ³n pueda restaurarse la prÃ³xima vez que se inicie la aplicaciÃ³n. No edite este archivo a mano.
			</div><div class="para">
				Aunque el cortafuegos es activado inmediatamente, el servicio <code class="command">iptables</code> no estÃ¡ configurado para que se inicie automÃ¡ticamente durante el arranque del equipo. Vea la <a class="xref" href="sect-Security_Guide-Basic_Firewall_Configuration-Activating_the_IPTables_Service.html" title="2.8.2.6. Activando el servicio IPTables">SecciÃ³nÂ 2.8.2.6, â€œActivando el servicio IPTablesâ€</a> para obtener mÃ¡s informaciÃ³n.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Basic_Firewall_Configuration-Other_Ports.html"><strong>Anterior</strong>2.8.2.4. Otros Puertos</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Basic_Firewall_Configuration-Activating_the_IPTables_Service.html"><strong>Siguiente</strong>2.8.2.6. Activando el servicio IPTables</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Basic_Firewall_Configuration-Trusted_Services.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.2.3. Servicios confiables</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html" title="2.8.2. ConfiguraciÃ³n bÃ¡sica de un cortafuego"/><link rel="prev" href="sect-Security_Guide-Basic_Firewall_Configuration-Enabling_and_Disabling_the_Firewall.html" title="2.8.2.2. Habilitando y deshabilitando el cortafuego"/><link rel="next" href="sect-Security_Guide-Basic_Firewall_Configuration-Other_Ports.html" title="2.8.2.4. Otros Puertos"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="h
 ttp://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Basic_Firewall_Configuration-Enabling_and_Disabling_the_Firewall.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Basic_Firewall_Configuration-Other_Ports.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.8.2.3. Servicios confiables"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Basic_Firewall_Configuration-Trusted_Services">2.8.2.3. Servicios confiables</h4></div></div></div><div class="para">
				Habilitando opciones en la lista de <span class="guilabel"><strong>Servicios confiables</strong></span> le permite al servicio especificado pasar a travÃ©s del cortafuego.
			</div><div class="variablelist"><dl><dt><span class="term"><span class="guilabel"><strong>WWW (HTTP)</strong></span></span></dt><dd><div class="para">
							El protocolo HTTP es utilizado por Apache (y por otros servidores Web) para ofrecer pÃ¡ginas web. Si tiene pensado hacer que su servidor web estÃ© disponible al pÃºblico en general, tilde esta casilla. Esta opciÃ³n no es requerida para ver pÃ¡ginas en forma local, o para desarrollar pÃ¡ginas web. Este servicio requiere que el paquete <code class="filename">httpd</code> estÃ© disponible.
						</div><div class="para">
							Habilitando <span class="guilabel"><strong>WWW (HTTP)</strong></span> no abrirÃ¡ el puerto de HTTPS, la versiÃ³n SSL de HTTP. Si se necesita este servicio, Elija la casilla <span class="guilabel"><strong>WWW Seguro (HTTPS)</strong></span>.
						</div></dd><dt><span class="term"><span class="guilabel"><strong>FTP</strong></span></span></dt><dd><div class="para">
							El protocolo FTP se usa para transferir archivos entre mÃ¡quinas de una red. Si planea hacer su servidor FTP disponible pÃºblicamente, marque este casillero. Este servicio requiere que se instale el paquete <code class="filename">vsftpd</code>.
						</div></dd><dt><span class="term"><span class="guilabel"><strong>SSH</strong></span></span></dt><dd><div class="para">
							Secure Shell (SSH) es una suite de herramientas para registrarse en un equipo remoto y poder ejecutar comandos en Ã©l. Para permitir acceso remoto a una mÃ¡quina utilizando ssh, tilde esta casilla. Este servicio requiere que el paquete <code class="filename">openssh-server</code> se encuentre instalado.
						</div></dd><dt><span class="term"><span class="guilabel"><strong>Telnet</strong></span></span></dt><dd><div class="para">
							Telnet es un protocolo que permite registrarse en equipos remotos. Las comunicaciones a travÃ©s de Telnet no estÃ¡n encriptadas y no ofrece protecciÃ³n ante posibles espÃas que se encuentren en la red. No se recomienda permitir el acceso a travÃ©s de Telnet. Para permitirlo, tilde esta casilla. Este servicio requiere que el paquete <code class="filename">telnet-server</code> se encuentre instalado.
						</div></dd><dt><span class="term"><span class="guilabel"><strong>Correo (SMTP)</strong></span></span></dt><dd><div class="para">
							SMTP es un protocolo que permite a equipos remotos conectarse directamente con su mÃ¡quina para enviar correos electrÃ³nicos. No necesita activar este servicio si obtiene su correo electrÃ³nico a travÃ©s de su servidor ISP, utilizando POP3 o IMAP, o si utiliza una herramienta como <code class="command">fetchmail</code>. Para permitir el envÃo de correos electrÃ³nico hacia su mÃ¡quina, seleccione esta casilla. FÃjese que una configuraciÃ³n incorrecta de un servidor SMTP puede permitir que otros equipos utilicen su servidor para enviar correo basura.
						</div></dd><dt><span class="term"><span class="guilabel"><strong>NFS4</strong></span></span></dt><dd><div class="para">
							El Sistema de Archivos de Red (NFS, por las siglas en inglÃ©s de Network File System), es un protocolo para compartir archivos comÃºnmente utilizado en sistemas *NIX. La versiÃ³n 4 de este protocolo es mÃ¡s segura que sus predecesoras. Si quiere compartir archivos y directorios de su sistema con otros en red, tilde esta casilla.
						</div></dd><dt><span class="term"><span class="guilabel"><strong>Samba</strong></span></span></dt><dd><div class="para">
							Samba es una implementaciÃ³n del protocolo de red SMB de Microsoft. Si necesita compartir archivos, directorios o impresoras conectadas localmente con computadoras con Microsoft Windows, marque esta casilla.
						</div></dd></dl></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Basic_Firewall_Configuration-Enabling_and_Disabling_the_Firewall.html"><strong>Anterior</strong>2.8.2.2. Habilitando y deshabilitando el cortafue...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Basic_Firewall_Configuration-Other_Ports.html"><strong>Siguiente</strong>2.8.2.4. Otros Puertos</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Command_Options_for_IPTables-Command_Options.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.2.2. Opciones de comandos</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html" title="2.9.2. Opciones de la lÃnea de comandos de IPTables"/><link rel="prev" href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html" title="2.9.2. Opciones de la lÃnea de comandos de IPTables"/><link rel="next" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Parameter_Options.html" title="2.9.2.3. Opciones de parÃ¡metros de IPTables"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class
 ="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Parameter_Options.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.9.2.2. Opciones de comandos"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Command_Options_for_IPTables-Command_Options">2.9.2.2. Opciones de comandos</h4></div></div></div><div class="para">
				Las opciones de comando dan instrucciones a <code class="command">iptables</code> para que realice una acciÃ³n especÃfica. Solo una opciÃ³n de comando es permitida para cada comando <code class="command">iptables</code>. Con la excepciÃ³n del comando help, todos los demÃ¡s deben ser escritos con caracteres mayÃºsculos.
			</div><div class="para">
				Los comandos de <code class="command">iptables</code> son los siguientes:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<code class="option">-A</code> â€” Agregan una regla al final de la cadena especificada. A diferencia de la opciÃ³n <code class="option">-I</code> descripta mÃ¡s abajo, No toma un entero como argumento. Siempre agrega la regla al final de la cadena especificada.
					</div></li><li class="listitem"><div class="para">
						<code class="option">-C</code> â€” Verifica una regla determinada antes de aÃ±adirla a la cadena especificada por el usuario. Este comando puede ayudarle a construir reglas complejas de <code class="command">iptables</code> al solicitarle parÃ¡metros y opciones adicionales.
					</div></li><li class="listitem"><div class="para">
						<code class="option">-D <integer> | <rule></code> â€” Elimina una regla de una cadena determinada por su nÃºmero (como por ejemplo <code class="option">5</code> para la quinta regla de una cadena), o por su especificaciÃ³n. La especificaciÃ³n de la regla debe coincidir exactamente con la regla existente.
					</div></li><li class="listitem"><div class="para">
						<code class="option">-E</code> â€” Renombra una cadena definida por el usuario. Una cadena definida por el usuario es cualquier cadena que no sea una de las ya existentes, establecidas por defecto. (Vea mÃ¡s abajo la opciÃ³n <code class="option">-N</code> para obtener informaciÃ³n acerca de como crear cadenas definidas por el usuario). Este es un cambio de tipo estÃ©tico y no afecta la estructura de la tabla.
					</div><div class="note"><h2>Nota</h2><div class="para">
							Si intenta renombrar alguna de las cadenas predeterminadas, el sistema informarÃ¡ un error de <code class="computeroutput">Coincidencia no encontrada</code>. No puede renombrar las cadenas predeterminadas.
						</div></div></li><li class="listitem"><div class="para">
						<code class="option">-F</code> â€” Limpia la cadena seleccionada, lo que efectivamente borra cada regla en la cadena. Si no se especifica una cadena, limpia todas las reglas de cada cadena.
					</div></li><li class="listitem"><div class="para">
						<code class="option">-h</code> â€” Provee una lista de estructuras de comando, asÃ como un resumen rÃ¡pido de los parÃ¡metros y opciones de los comandos.
					</div></li><li class="listitem"><div class="para">
						<code class="option">-I [<entero>]</code> â€” Inserta una regla en la cadena en el punto especificado por el argumento entero dado por el usuario. Si no se especifica un argumento, se inserta al comienzo de la cadena.
					</div><div class="important"><h2>Importante</h2><div class="para">
							Como se mencionÃ³ arriba, el orden de las reglas en una cadena determina cuÃ¡les reglas se aplican a quÃ© paquetes. Esto es importante para recordar cuando se agreguen reglas que usen la opciÃ³n <code class="option">-A</code> o <code class="option">-I</code>.
						</div><div class="para">
							Esto es especialmente importante cuando se agregan reglas utilizando la opciÃ³n <code class="option">-I</code> con un argumento entero. Si especifica un nÃºmero existente cuando agregue una regla a una cadena, <code class="command">iptables</code> aÃ±ade la nueva regla <span class="emphasis"><em>antes</em></span> que (o sobre) la regla existente.
						</div></div></li><li class="listitem"><div class="para">
						<code class="option">-L</code> â€” Muestra todas las reglas en la cadena especificada luego del comando. Para listar todas las reglas de todas las cadenas en la tabla de <code class="option">filtro</code> establecida por defecto, no especifique ni una cadena ni una tabla. De lo contrario, la siguiente sintaxis deberÃa ser utilizada para listar las reglas de una cadena determinada, en una tabla determinada:
					</div><pre class="screen"><code class="computeroutput"> iptables -L <em class="replaceable"><code><nombre-de-cadena></code></em> -t <em class="replaceable"><code><nombre-de-tabla></code></em></code>
</pre><div class="para">
						Las opciones adicionales para la opciÃ³n <code class="option">-L</code> del comando, que proveen el nÃºmero de regla y permiten descripciones de reglas mÃ¡s detalladas se describen en la<a class="xref" href="sect-Security_Guide-Command_Options_for_IPTables-Listing_Options.html" title="2.9.2.6. Opciones de listado">SecciÃ³nÂ 2.9.2.6, â€œOpciones de listadoâ€</a>.
					</div></li><li class="listitem"><div class="para">
						<code class="option">-N</code> â€” Crea una nueva cadena con un nombre dado por el usuario. El nombre debe ser Ãºnico, sino se mostrarÃ¡ un mensaje de error.
					</div></li><li class="listitem"><div class="para">
						<code class="option">-P</code> â€” Pone la polÃtica predeterminada para la cadena especificada, para que cuando los paquetes atraviesen toda la cadena sin encontrar una regla con la que coincidan, se los envÃa al destino especificado, sea ACCEPT o DROP.
					</div></li><li class="listitem"><div class="para">
						<code class="option">-R</code> â€” Reemplaza una regla en la cadena especificada. El nÃºmero de regla debe especificarse despuÃ©s del nombre de la cadena. La primera regla en una cadena corresponde a la regla nÃºmero uno.
					</div></li><li class="listitem"><div class="para">
						<code class="option">-X</code> â€” Borra una cadena definida por el usuario. No se puede borrar una cadena predefinida.
					</div></li><li class="listitem"><div class="para">
						<code class="option">-Z</code> â€” Pone los contadores de bytes y de paquetes a 0 en todas las cadenas de una tabla.
					</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html"><strong>Anterior</strong>2.9.2. Opciones de la lÃnea de comandos de IPTabl...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Parameter_Options.html"><strong>Siguiente</strong>2.9.2.3. Opciones de parÃ¡metros de IPTables</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.2.4. Opciones de coincidencia de IPTables</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html" title="2.9.2. Opciones de la lÃnea de comandos de IPTables"/><link rel="prev" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Parameter_Options.html" title="2.9.2.3. Opciones de parÃ¡metros de IPTables"/><link rel="next" href="sect-Security_Guide-IPTables_Match_Options-UDP_Protocol.html" title="2.9.2.4.2. Protocolo UDP"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href=
 "http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Parameter_Options.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables_Match_Options-UDP_Protocol.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.9.2.4. Opciones de coincidencia de IPTables"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options">2.9.2.4. Opciones de coincidencia de IPTables</h4></div></div></div><div class="para">
				Los diferentes protocolos de red proveen opciones especializadas de correspondencia, que pueden ser configuradas para relacionar un paquete determinado, que utilice el protocolo en cuestiÃ³n. Sin embargo, el protocolo debe ser previamente especificado en el comando <code class="command">iptables</code>. Por ejemplo, <code class="option">-p <em class="replaceable"><code><protocol-name></code></em></code> habilita opciones para el protocolo especÃfico. FÃjese que incluso puede utilizar el ID del protocolo, en lugar del nombre del protocolo. Observe los siguientes ejemplos, cada uno de los cuales tiene el mismo efecto:
			</div><pre class="screen"><code class="command"> iptables -A INPUT -p icmp --icmp-type any -j ACCEPT </code>
</pre><pre class="screen"><code class="command"> iptables -A INPUT -p 5813 --icmp-type any -j ACCEPT </code>
</pre><div class="para">
				Las definiciones de los servicios son provistas en el archivo <code class="filename">/etc/services</code>. Para una mejor lectura, es recomendable que se utilice el nombre de los servicios, en lugar de los nÃºmeros de puertos.
			</div><div class="warning"><h2>Advertencia</h2><div class="para">
					Asegure el archivo <code class="filename">/etc/services</code> de manera de poder evitar que sea editado por usuarios no autorizados. Si este archivo es editable, los crackers pueden utilizarlo para habilitar puertos en su equipo que de otra manera permanecerÃan cerrados. Para segurar este archivo, ingrese los siguiente comandos siendo usuario root:
				</div><pre class="screen">[root at myServer ~]# chown root.root /etc/services 
[root at myServer ~]# chmod 0644 /etc/services
[root at myServer ~]# chattr +i /etc/services
</pre><div class="para">
					Esto previene que se pueda renombrar, borrar o crear enlaces al archivo.
				</div></div><div class="section" title="2.9.2.4.1. Protocolo TCP"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-IPTables_Match_Options-TCP_Protocol">2.9.2.4.1. Protocolo TCP</h5></div></div></div><div class="para">
					Estas opciones de comparaciÃ³n estÃ¡n disponibles para el protocolo TCP (<code class="option">-p tcp</code>):
				</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
							<code class="option">--dport</code> â€” Pone el puerto destino del paquete.
						</div><div class="para">
							Para configurar esta opciÃ³n, use un nombre de servicio de red (tal como www o smtp); o un nÃºmero de puerto; o un rango de nÃºmeros de puerto.
						</div><div class="para">
							Para especificar un rango de nÃºmeros de puerto, separe los dos nÃºmeros con dos puntos (<code class="option">:</code>). Por ejemplo: <code class="option">-p tcp --dport 3000:3200</code>. El rango mÃ¡s grande aceptable es <code class="option">0:65535</code>.
						</div><div class="para">
							Use el signo de exclamaciÃ³n (<code class="option">!</code>) despuÃ©s de la opciÃ³n <code class="option">--dport</code> para que seleccione todos los paquetes que <span class="emphasis"><em>no</em></span> usen ese servicio de red o puerto.
						</div><div class="para">
							Para navegar por los nombres o alias de servicios de red y sus nÃºmeros de puerto, vea el archivo <code class="filename">/etc/services</code>.
						</div><div class="para">
							La opciÃ³n <code class="option">--destination-port</code> es sinÃ³nimo de <code class="option">--dport</code>.
						</div></li><li class="listitem"><div class="para">
							<code class="option">--sport</code> â€” Pone el puerto de origen del paquete y usa las mismas opciones que <code class="option">--dport</code>. La opciÃ³n <code class="option">--source-port</code> es sinÃ³nimo de <code class="option">--sport</code>.
						</div></li><li class="listitem"><div class="para">
							<code class="option">--syn</code> â€” Se aplica a todos los paquetes TCP diseÃ±ados para iniciar una comunicaciÃ³n, comÃºnmente llamados <em class="firstterm">paquetes SYN</em>. Cualquier paquete que lleve datos no se toca.
						</div><div class="para">
							Use un signo de exclamaciÃ³n (<code class="option">!</code>) despuÃ©s de <code class="option">--syn</code> para que seleccione los paquetes no-SYN.
						</div></li><li class="listitem"><div class="para">
							<code class="option">--tcp-flags <lista de chequeo de banderas> <lista de banderas puestas></code> â€” Permite paquetes TCP que tengan ciertos bits (banderas) especÃficos puestos, para que coincidan con la regla.
						</div><div class="para">
							La opciÃ³n de correspondencia <code class="option">--tcp-flags</code> acepta dos parÃ¡metros. El primero es la mÃ¡scara; una lista separada por comas de las marcas a ser examinadas en el paquete. El segundo parÃ¡metro es una lista separada por comas de las marcas que deben ser definidas en la regla con la que se pretende concordar.
						</div><div class="para">
							Las posibles banderas son:
						</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
									<code class="option">ACK</code>
								</div></li><li class="listitem"><div class="para">
									<code class="option">FIN</code>
								</div></li><li class="listitem"><div class="para">
									<code class="option">PSH</code>
								</div></li><li class="listitem"><div class="para">
									<code class="option">RST</code>
								</div></li><li class="listitem"><div class="para">
									<code class="option">SYN</code>
								</div></li><li class="listitem"><div class="para">
									<code class="option">URG</code>
								</div></li><li class="listitem"><div class="para">
									<code class="option">ALL</code>
								</div></li><li class="listitem"><div class="para">
									<code class="option">NONE</code>
								</div></li></ul></div><div class="para">
							Por ejemplo, una regla <code class="command">iptables</code> que contenga las siguientes especificaciones solo se corresponderÃ¡ con paquetes TCP que tengan definida la marca SYN, y que no tengan definidas las marcas ACK ni FIN:
						</div><div class="para">
							<code class="command">--tcp-flags ACK,FIN,SYN SYN</code>
						</div><div class="para">
							Use el signo de exclamaciÃ³n (<code class="option">!</code>) despuÃ©s de <code class="option">--tcp-flags</code> para revertir el efecto de coincidencia de la opciÃ³n.
						</div></li><li class="listitem"><div class="para">
							<code class="option">--tcp-option</code> â€” Intenta corresponderse con opciones especÃficas de TCP que puedan establecerse dentro de un paquete determinado. Esta opciÃ³n de correspondencia puede tambiÃ©n revertirse con el signo de exclamaciÃ³n (<code class="option">!</code>).
						</div></li></ul></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Parameter_Options.html"><strong>Anterior</strong>2.9.2.3. Opciones de parÃ¡metros de IPTables</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables_Match_Options-UDP_Protocol.html"><strong>Siguiente</strong>2.9.2.4.2. Protocolo UDP</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Command_Options_for_IPTables-IPTables_Parameter_Options.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.2.3. Opciones de parÃ¡metros de IPTables</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html" title="2.9.2. Opciones de la lÃnea de comandos de IPTables"/><link rel="prev" href="sect-Security_Guide-Command_Options_for_IPTables-Command_Options.html" title="2.9.2.2. Opciones de comandos"/><link rel="next" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html" title="2.9.2.4. Opciones de coincidencia de IPTables"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="ri
 ght" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Command_Options_for_IPTables-Command_Options.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.9.2.3. Opciones de parÃ¡metros de IPTables"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Parameter_Options">2.9.2.3. Opciones de parÃ¡metros de IPTables</h4></div></div></div><div class="para">
				Ciertos comandos de <code class="command">iptables</code>, incluyen aquellos para agregar, adjuntar, borrar, insertar o borrar reglas dentro de una cadena particular, que requieren varios parÃ¡metros para construir una regla de filtrado de paquetes.
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<code class="option">-c</code> â€” Reinicia los contadores de una regla particular. Este parÃ¡metro acepta las opciones <code class="option">PKTS</code> y <code class="option">BYTES</code> para especificar quÃ© contadores resetear.
					</div></li><li class="listitem"><div class="para">
						<code class="option">-d</code> â€” Pone el destino por nombre, direcciÃ³n IP o red para un paquete que coincide con la regla. Cuando se especifique una red, los siguientes formatos de direcciÃ³n de IP /mÃ¡scara de red son soportados:
					</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
								<code class="option"><em class="replaceable"><code>N.N.N.N</code></em>/<em class="replaceable"><code>M.M.M.M</code></em></code> â€” Donde <em class="replaceable"><code>N.N.N.N</code></em> es el rango de direcciones IP y <em class="replaceable"><code>M.M.M.M</code></em> es la mÃ¡scara de red.
							</div></li><li class="listitem"><div class="para">
								<code class="option"><em class="replaceable"><code>N.N.N.N</code></em>/<em class="replaceable"><code>M</code></em></code> â€” Donde <em class="replaceable"><code>N.N.N.N</code></em> es el rango de direcciones IP y <em class="replaceable"><code>M</code></em> son los bits de mÃ¡scara.
							</div></li></ul></div></li><li class="listitem"><div class="para">
						<code class="option">-f</code> â€” Aplica esta regla sÃ³lo a paquetes fragmentados.
					</div><div class="para">
						Puede usar el signo de exclamaciÃ³n (<code class="option">!</code>) despuÃ©s de este parÃ¡metro para especificar que solamente se aceptan paquetes desfragmentados.
					</div><div class="note"><h2>Nota</h2><div class="para">
							La distinciÃ³n entre paquetes fragmentados y defragmentados es deseable, sin importar que los paquetes fragmentados sean una parte estÃ¡ndar del protocolo IP.
						</div><div class="para">
							Originalmente diseÃ±ada para permitir que los paquetes IP viajen a travÃ©s de redes con marcos de diferentes tamaÃ±os, hoy en dÃa la fragmentaciÃ³n es comÃºnmente utilizada para generar ataques DoS, mediante paquetes mal formados. Tampoco sirve de mucho que IPv6 no permita en absoluto la fragmentaciÃ³n.
						</div></div></li><li class="listitem"><div class="para">
						<code class="option">-i</code> â€” Establece la interfaz de red entrante, como ser por ejemplo, <code class="option">eth0</code> o <code class="option">ppp0</code>. Con <code class="command">iptables</code>, este parÃ¡metro opcional solo puede ser utilizado con las cadenas de INPUT y FORWARD, cuando sean utilizadas con la tabla de <code class="option">filter</code>, y la cadena PREROUTING con las tablas <code class="option">nat</code> y <code class="option">mangle</code>.
					</div><div class="para">
						Este parÃ¡metro tambiÃ©n da soporte a todas las siguientes opciones especiales:
					</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
								El signo de exclamaciÃ³n (<code class="option">!</code>) â€” Revierte la directiva, significando que las interfaces especificadas de excluyen de esta regla.
							</div></li><li class="listitem"><div class="para">
								Signo de suma (<code class="option">+</code>) â€” Un carÃ¡cter comodÃn utilizado para relacionar a todas las interfaces que se correspondan con una cadena determinada. Por ejemplo, el parÃ¡metro <code class="option">-i eth+</code> aplicarÃa esta regla a cualquier interfaz Ethernet, pero excluirÃa el resto de las interfases, como por ejemplo, <code class="option">ppp0</code>.
							</div></li></ul></div><div class="para">
						Si el parÃ¡metro <code class="option">-i</code> se usa pero no se especifica una interfaz, entonces todas las interfases son afectadas por esta regla.
					</div></li><li class="listitem"><div class="para">
						<code class="option">-j</code> â€” Salta al destino especificado si un paquete coincide con una regla en particular.
					</div><div class="para">
						Los destinos estÃ¡ndares son <code class="option">ACCEPT</code>, <code class="option">DROP</code>, <code class="option">QUEUE</code>, y <code class="option">RETURN</code>.
					</div><div class="para">
						Existen tambiÃ©n a disposiciÃ³n algunas opciones extendidas, a travÃ©s de mÃ³dulos cargados por defecto con el paquete RPM <code class="command">iptables</code> de Fedora. Algunas de las acciones vÃ¡lidas de ese mÃ³dulo son <code class="option">LOG</code>, <code class="option">MARK</code>, y <code class="option">REJECT</code>, entre otras. Para obtener mayor informaciÃ³n acerca de estas y de otras acciones, consulte la pÃ¡gina man de <code class="command">iptables</code>.
					</div><div class="para">
						Esta opciÃ³n tambiÃ©n puede usarse para dirigir el paquete coincidente a una regla particular en una cadena del usuario fuera de la cadena actual, para que se le puedan aplicar otras reglas al paquete.
					</div><div class="para">
						Si no se especifica un destino, el paquete se mueve a la regla siguiente sin hacer nada. El contador de esta regla, sin embargo, se incrementa por uno.
					</div></li><li class="listitem"><div class="para">
						<code class="option">-o</code> â€” Establece la interfaz de red saliente para una regla. Esta opciÃ³n sÃ³lo es vÃ¡lida para las cadenas OUTPUT y FORWARD en la tabla <code class="option">filter</code>, y para la cadena POSTROUTING en las tablas <code class="option">nat</code> y <code class="option">mangle</code> tables. Este parÃ¡metro acepta las mismas opciones que el parÃ¡metro para la interfaz de red entrante (<code class="option">-i</code>).
					</div></li><li class="listitem"><div class="para">
						<code class="option">-p <protocol></code> â€” Establece el protocolo IP afectado por la regla. Este puede ser <code class="option">icmp</code>, <code class="option">tcp</code>, <code class="option">udp</code>, o <code class="option">all</code>, o tambiÃ©n puede ser un valor numÃ©rico, representando alguno de estos protocolos, o alguno diferente. TambiÃ©n puede utilizar cualquiera de los protocolos listados en el archivo <code class="filename">/etc/protocols</code>.
					</div><div class="para">
						El protocolo "<code class="option">all</code>" significa que esta regla se aplica a todos los protocolos soportados. Si no se lista ningÃºn protocolo con esta regla, por defecto se asume "<code class="option">all</code>".
					</div></li><li class="listitem"><div class="para">
						<code class="option">-s</code> â€” Pone el fuente de un paquete particular usando la misma sintaxis del parÃ¡metro de destino (<code class="option">-d</code>).
					</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Command_Options_for_IPTables-Command_Options.html"><strong>Anterior</strong>2.9.2.2. Opciones de comandos</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html"><strong>Siguiente</strong>2.9.2.4. Opciones de coincidencia de IPTables</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Command_Options_for_IPTables-Listing_Options.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.2.6. Opciones de listado</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html" title="2.9.2. Opciones de la lÃnea de comandos de IPTables"/><link rel="prev" href="sect-Security_Guide-Command_Options_for_IPTables-Target_Options.html" title="2.9.2.5. Opciones de destino"/><link rel="next" href="sect-Security_Guide-IPTables-Saving_IPTables_Rules.html" title="2.9.3. Guardando las reglas de IPTalbes"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><im
 g src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Command_Options_for_IPTables-Target_Options.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables-Saving_IPTables_Rules.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.9.2.6. Opciones de listado"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Command_Options_for_IPTables-Listing_Options">2.9.2.6. Opciones de listado</h4></div></div></div><div class="para">
				La lista de comandos establecida por defecto, <code class="command">iptables -L [<chain-name>]</code> provee resumen bÃ¡sico de las cadenas de tablas de filtrado establecidas por defecto. Opciones adicionales brindan mÃ¡s informaciÃ³n:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<code class="option">-v</code> â€” Muestra informaciÃ³n adicional, como por ejemplo la cantidad de paquetes y los bytes que ha procesado cada cadena, la cantidad de paquetes y los bytes que se ha correspondido con cada regla, y quÃ© interfases se aplican a una regla determinada.
					</div></li><li class="listitem"><div class="para">
						<code class="option">-x</code> â€” Expande los nÃºmeros a sus valores exactos. En un sistema activo, el nÃºmero de los paquetes y la cantidad de bytes procesados por una cadena o regla determinada puede estar abreviado en <code class="computeroutput">Kilobytes</code>, <code class="computeroutput">Megabytes</code> (Megabytes) o <code class="computeroutput">Gigabytes</code>. Esta opciÃ³n obliga a ser mostrado el nÃºmero entero.
					</div></li><li class="listitem"><div class="para">
						<code class="option">-n</code> â€” Muestra las direcciones IP y los nÃºmeros de puerto en su formato numÃ©rico, en vez del formato predeterminado de nombre de equipo y nombre de servicio.
					</div></li><li class="listitem"><div class="para">
						<code class="option">--line-numbers</code> â€” Muestra las reglas en cada cadena junto a su orden numÃ©rico en dicha cadena. Esta opciÃ³n es Ãºtil si se intenta eliminar una regla especÃfica de una cadena, o para saber dÃ³nde insertar una regla dentro de una cadena.
					</div></li><li class="listitem"><div class="para">
						<code class="option">-t <nombre-de-tabla></code> â€” Especifica el nombre de una tabla. Si se omite, se usa filter como nombre de tabla.
					</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Command_Options_for_IPTables-Target_Options.html"><strong>Anterior</strong>2.9.2.5. Opciones de destino</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables-Saving_IPTables_Rules.html"><strong>Siguiente</strong>2.9.3. Guardando las reglas de IPTalbes</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Command_Options_for_IPTables-Target_Options.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.2.5. Opciones de destino</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html" title="2.9.2. Opciones de la lÃnea de comandos de IPTables"/><link rel="prev" href="sect-Security_Guide-IPTables_Match_Options-Additional_Match_Option_Modules.html" title="2.9.2.4.4. MÃ³dulos adicionales para opciones de coincidencia"/><link rel="next" href="sect-Security_Guide-Command_Options_for_IPTables-Listing_Options.html" title="2.9.2.6. Opciones de listado"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="
 right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables_Match_Options-Additional_Match_Option_Modules.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Command_Options_for_IPTables-Listing_Options.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.9.2.5. Opciones de destino"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Command_Options_for_IPTables-Target_Options">2.9.2.5. Opciones de destino</h4></div></div></div><div class="para">
				Cuando un paquete concuerde con una regla en particular, la regla puede dirigir el paquete hacia un nÃºmero de destinos diferentes determinados por la acciÃ³n apropiada. Cada cadena tiene un objetivo establecido por defecto, que serÃ¡ utilizado si ninguna de las reglas en esa cadena concuerdan con un paquete, o si ninguna de las reglas que concuerdan con el paquete especifica un destino.
			</div><div class="para">
				Los siguientes son los destinos estÃ¡ndares:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<code class="option"><em class="replaceable"><code><cadena-del-usuario></code></em></code> â€” Una cadena definida por el usuario dentro de la tabla. Los nombres de las cadenas definidas por el usuario deben ser Ãºnicos. Esta acciÃ³n pasa el paquete a la cadena especificada.
					</div></li><li class="listitem"><div class="para">
						<code class="option">ACCEPT</code> â€” Permite pasar al paquete a su destino o a otra cadena.
					</div></li><li class="listitem"><div class="para">
						<code class="option">DROP</code> â€” Descarta el paquete sin responder. El sistema que mandÃ³ el paquete no es notificado de la falla.
					</div></li><li class="listitem"><div class="para">
						<code class="option">QUEUE</code> â€” El paquete es encolado para su manejo por una aplicaciÃ³n en el espacio del usuario.
					</div></li><li class="listitem"><div class="para">
						<code class="option">RETURN</code> â€” Detiene el chequeo del paquete contra las reglas restantes de la cadena. Si el paquete con un destino <code class="option">RETURN</code> coincide con una regla en una cadena llamada por otra cadena, el paquete es devuelto a la primera cadena y continÃºa el chequeo donde quedÃ³ antes de saltar. Si la regla <code class="option">RETURN</code> se usa en una cadena predefinida y el paquete no se puede mover a una cadena previa, se usa el destino predeterminado para la cadena.
					</div></li></ul></div><div class="para">
				AdemÃ¡s, existen a disposiciÃ³n diversos complementos que permiten especificar otros destinos. Estos complementos son llamados mÃ³dulos de destino o mÃ³dulos de opciÃ³n de concordancia y muchos de ellos sÃ³lo se aplican a tablas y situaciones especÃficas. Para obtener mÃ¡s informaciÃ³n acerca de los mÃ³dulos de opciÃ³n de concordancia, vea <a class="xref" href="sect-Security_Guide-IPTables_Match_Options-Additional_Match_Option_Modules.html" title="2.9.2.4.4. MÃ³dulos adicionales para opciones de coincidencia">SecciÃ³nÂ 2.9.2.4.4, â€œMÃ³dulos adicionales para opciones de coincidenciaâ€</a>
			</div><div class="para">
				Existen numerosos mÃ³dulos de destino extendidos, muchos de los cuales solo se aplican a ciertas tablas o situaciones. Algunos de los mÃ¡s populares incluidos por defecto en Fedora son:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<code class="option">LOG</code> â€” Registra todos los paquetes que se correspondan con esta regla. Debido a que los paquetes son registrados por el kernel, el archivo <code class="filename">/etc/syslog.conf</code> determina donde son escritas estas entradas de registro. Por defecto, son ubicadas en el archivo <code class="filename">/var/log/messages</code>.
					</div><div class="para">
						Hay opciones adicionales que se pueden usar despuÃ©s del destino <code class="option">LOG</code> para especificar la forma en que se realiza el log:
					</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
								<code class="option">--log-level</code> â€” Pone la prioridad de registrado del evento. Vaya a la pÃ¡gina man de <code class="filename">syslog.conf</code> para una lista de los niveles de prioridad.
							</div></li><li class="listitem"><div class="para">
								<code class="option">--log-ip-options</code> â€” Registra todas las opciones puestas en la cabecera de un paquete IP.
							</div></li><li class="listitem"><div class="para">
								<code class="option">--log-prefix</code> â€” Pone una cadena de hasta 29 caracteres antes de la lÃnea de registro cuando se escribe. Esto es Ãºtil cuando se escribe filtros syslog para usar junto con el registrado de paquetes.
							</div><div class="note"><h2>Nota</h2><div class="para">
									Debido a una cuestiÃ³n con esta opciÃ³n, se debe agregar un espacio al final del valor <em class="replaceable"><code>log-prefix</code></em>.
								</div></div></li><li class="listitem"><div class="para">
								<code class="option">--log-tcp-options</code> â€” Registra todas las opciones puestas en la cabecera de un paquete TCP.
							</div></li><li class="listitem"><div class="para">
								<code class="option">--log-tcp-sequence</code> â€” Escribe el nÃºmero de secuencia de un paquete en el log.
							</div></li></ul></div></li><li class="listitem"><div class="para">
						<code class="option">REJECT</code> â€” EnvÃa un paquete de error como respuesta al sistema remoto y descarta el paquete.
					</div><div class="para">
						La destino <code class="option">REJECT</code> acepta <code class="option">--reject-with <em class="replaceable"><code><tipo></code></em></code> (donde <em class="replaceable"><code><tipo></code></em> es el tipo de rechazo) permitiendo que junto con el paquete errÃ³neo sea devuelta informaciÃ³n mÃ¡s detallada. El mensaje <code class="computeroutput">port-unreachable</code> es el tipo de error establecido por defecto que serÃ¡ dado si no hay otra opciÃ³n utilizÃ¡ndose. Vea la pÃ¡gina man de <code class="command">iptables</code> para una lista completa de opciones de <code class="option"><em class="replaceable"><code><tipo></code></em></code>.
					</div></li></ul></div><div class="para">
				Otras extensiones de acciÃ³n, incluidas aquellas que son Ãºtiles para el enmascaramiento de IP utilizando la tabla <code class="option">nat</code>, o mediante alteraciÃ³n de paquete utilizando la tabla <code class="option">mangle</code>, pueden ser encontradas en la pÃ¡gina man de <code class="command">iptables</code>.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables_Match_Options-Additional_Match_Option_Modules.html"><strong>Anterior</strong>2.9.2.4.4. MÃ³dulos adicionales para opciones de c...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Command_Options_for_IPTables-Listing_Options.html"><strong>Siguiente</strong>2.9.2.6. Opciones de listado</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Common_Exploits_and_Attacks.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.4. Ataques y debilidades comunes</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Security_Overview.html" title="CapÃtulo 1. Repaso sobre seguridad"/><link rel="prev" href="sect-Security_Guide-Threats_to_Workstation_and_Home_PC_Security-Vulnerable_Client_Applications.html" title="1.3.4.2. Aplicaciones de tipo cliente vulnerables"/><link rel="next" href="sect-Security_Guide-Security_Updates.html" title="1.5. Actualizaciones de seguridad"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><i
 mg src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Threats_to_Workstation_and_Home_PC_Security-Vulnerable_Client_Applications.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Security_Updates.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="section" title="1.4. Ataques y debilidades comunes"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Common_Exploits_and_Attacks">1.4. Ataques y debilidades comunes</h2></div></div></div><div class="para">
		<a class="xref" href="sect-Security_Guide-Common_Exploits_and_Attacks.html#tabl-Security_Guide-Common_Exploits_and_Attacks-Common_Exploits" title="Tabla 1.1. Debilidades comunes">TablaÂ 1.1, â€œDebilidades comunesâ€</a> : detalles acerca de las debilidades y los puntos de ingreso mÃ¡s utilizados por intrusos, que pretenden acceder a los recursos de diferentes redes. La clave para defender estos puntos son las explicaciones acerca de cÃ³mo se desarrollan, y cÃ³mo los administradores pueden salvaguardar adecuadamente sus redes contra tales ataques.
	</div><div class="table" id="tabl-Security_Guide-Common_Exploits_and_Attacks-Common_Exploits"><div class="table-contents"><table summary="Debilidades comunes" border="1"><colgroup><col width="2*"/><col width="4*"/><col width="4*"/></colgroup><thead><tr><th>
						Debilidades
					</th><th>
						DescripciÃ³n
					</th><th>
						Notas
					</th></tr></thead><tbody><tr><td>
						ContraseÃ±as nulas o predeterminadas
					</td><td>
						Leaving administrative passwords blank or using a default password set by the product vendor. This is most common in hardware such as routers and firewalls, though some services that run on Linux can contain default administrator passwords (though Fedora 12 does not ship with them).
					</td><td>
						<table border="0" summary="Simple list" class="simplelist"><tr><td>Asociados comÃºnmente a equipos de red como ruteadores, cortafuegos, VPNs y aparatos de almacenamiento conectados a la red (NAS). </td></tr><tr><td>ComÃºn en muchos sistemas operativos viejos, especialmente los SOs que agrupan servicios (como UNIX y Windows.) </td></tr><tr><td>Los administradores, a veces crean apresuradamente cuentas de usuarios privilegiados, y dejan la contraseÃ±a en blanco, creando un punto de entrada perfecto para usuarios malintencionados han descubierto la cuenta. </td></tr></table>
					</td></tr><tr><td>
						Claves compartidas predeterminadas
					</td><td>
						Los servicios de seguridad algunas veces empaquetan claves de seguridad establecidas por defecto, ya sea para su desarrollo, o para comprobar su desempeÃ±o. Si estas claves se mantienen inalteradas y se colocan en un entorno de producciÃ³n en Internet <span class="emphasis"><em>todos</em></span> los usuarios con las misma sclaves establecidas por defecto tendrÃ¡n acceso a ese recurso de clave compartida, y a cualquier tipo de informaciÃ³n que en Ã©l se guarde.
					</td><td>
						<table border="0" summary="Simple list" class="simplelist"><tr><td>Los puntos de acceso inalÃ¡mbricos y aparatos servidores seguros preconfigurados mÃ¡s comunes. </td></tr></table>
					</td></tr><tr><td>
						ImitaciÃ³n de IP
					</td><td>
						Una mÃ¡quina remota actÃºa como un nodo en su red local, busca debilidades en sus servidores, e instala un programa de puerta trasera o troyano para ganar el control de los recursos de la red.
					</td><td>
						<table border="0" summary="Simple list" class="simplelist"><tr><td>La suplantaciÃ³n de identidad es tan difÃcil porque involucra la necesidad del atacante de tener que predecir los nÃºmeros de secuencia de TCP/IP para coordinar una conexiÃ³n a los sistemas remotos, pero hay varias herramientas disponibles para asistir a los atacantes a realizar esa tarea. </td></tr><tr><td>Depende del tipo de servicios que se estÃ©n ejecutando en el sistema de destino (como por ejemplo <code class="command">rsh</code>, <code class="command">telnet</code>, FTP y demÃ¡s), si es que utilizan tÃ©cnicas de autenticaciÃ³n <em class="firstterm">basadas en la fuente</em>, no son recomendadas si se las compara con PKI, o con otras formas de autenticar encriptaciones utilizadas en <code class="command">ssh</code>, o SSL/TLS. </td></tr></table>
					</td></tr><tr><td>
						Escuchas
					</td><td>
						La escucha se realiza para la recolecciÃ³n de datos que pasan entre dos nodos activos en una red.
					</td><td>
						<table border="0" summary="Simple list" class="simplelist"><tr><td>Este tipo de ataque funciona principalmente con protocolos de transmisiÃ³n de texto plano tales como las transferencias Telnet, FTP y HTTP. </td></tr><tr><td>El atacante remoto debe tener acceso a un sistema comprometido en una LAN para poder realizar el ataque; usualmente el atacante usÃ³ un ataque activo (tal como la suplantaciÃ³n de IP o la del hombre en el medio) para comprometer un sistema en la LAN. </td></tr><tr><td>Las medidas preventivas incluyen servicios con cambio de claves criptogrÃ¡ficas, contraseÃ±as de un solo uso, o autenticaciÃ³n encriptada para prevenir la adivinaciÃ³n de contraseÃ±as; una fuerte encriptaciÃ³n durante la transmisiÃ³n tambiÃ©n es recomendada. </td></tr></table>
					</td></tr><tr><td>
						Debilidades de servicios
					</td><td>
						Un atacante encuentra una brecha o hueco en un servicio que corre a travÃ©s de Internet; a travÃ©s de esta vulnerabilidad, el atacante compromete el sistema entero y cualquier dato que pueda contener, y puede posiblemente comprometer otros sistemas en la red.
					</td><td>
						<table border="0" summary="Simple list" class="simplelist"><tr><td>Los servicios basados en HTTP como CGI son vulnerables a ejecuciones desde comandos remotos, y aÃºn a accesos desde consolas interactivas. Incluso si el servicio HTTP lo ejecuta un usuario sin demasiados privilegios, como "nobody", algunos datos pueden ser leÃdos, como por ejemplo, los archivos de configuraciÃ³n y mapas de red. El atacante tambiÃ©n puede iniciar una denegaciÃ³n de servicio que agotarÃ¡ los recursos del sistema, o lo dejarÃ¡ inutilizable por otros usuarios. </td></tr><tr><td>Los servicios algunas veces pueden presentar debilidades que no son visibles a lo largo de los procesos de desarrollo o de prueba. Estas vulnerabilidades pueden darle a un atacante un control administrativo total, como es el caso de un <em class="firstterm">desbordamiento del bÃºfer</em>: los atacantes destruyen un sistema utilizando valores arbitrarios que agotan la memoria del bÃºfer de una determinada aplicaciÃ³n,
  y obteniendo asÃ una consola desde la cual poder ejecutar comandos. </td></tr><tr><td>Los administradores se deben asegurar que los servicios no corren como el usuario root, y deben vigilar los parches y actualizaciones de errata de las aplicaciones de vendedores u organizaciones de seguridad como CERT y CVE. </td></tr></table>
					</td></tr><tr><td>
						Debilidades de aplicaciones
					</td><td>
						Los atacantes encuentran fallas en las aplicaciones de un equipo de escritorio o de una estaciÃ³n de trabajo (como ser por ejemplo un cliente de correo electrÃ³nico), y ejecutan un cÃ³digo cualquiera, colocan caballos troyanos para futuros daÃ±os, o simplemente destruyen el sistema. Pueden ocurrir futuras catÃ¡strofes si la estaciÃ³n de trabajo vulnerada posee privilegios administrativos sobre el resto de la red.
					</td><td>
						<table border="0" summary="Simple list" class="simplelist"><tr><td>Las estaciones de trabajo y los equipos personales son ideales para ser vulnerados dado que sus usuarios no tienen ni la experiencia ni el conocimiento para prevenir o detectar irregularidades. Es de suma importancia informar a los individuos del riesgo que corren cada vez que instalan software no autorizado, o cuando abren archivos adjuntos de correos electrÃ³nicos no solicitados. </td></tr><tr><td>Pueden ser implementados "salvavidas" tales como configurar al cliente de correo electrÃ³nico que se estÃ© utilizando de modo tal que no abra ni ejecute archivos adjuntos en forma automÃ¡tica. AdemÃ¡s, la actualizaciÃ³n automÃ¡tica de la estaciÃ³n de trabajo a travÃ©s de Red Hat Network o mediante algÃºn otro servicio de administraciÃ³n de sistemas, es una forma de aliviar la tarea de las descargas de seguridad de tipo multi usuario. </td></tr></table>
					</td></tr><tr><td>
						Ataques de NegaciÃ³n de Servicio (DoS)
					</td><td>
						Un atacante, o un grupo de atacantes coordinados contra la red o los recursos de red de alguna organizaciÃ³n, enviando paquetes no autorizados al equipo elegido (ya sea un servidor, un enrutador o una estaciÃ³n de trabajo). Esto obliga al recurso atacado a quedar inhabilitado para ser utilizado por los usuarios legÃtimos.
					</td><td>
						<table border="0" summary="Simple list" class="simplelist"><tr><td>El caso DoS mÃ¡s informado en los Estados Unidos ocurriÃ³ en el aÃ±o 2000. Diferentes sitios comerciales y gubernamentales con alta densidad de trÃ¡fico quedaron incapacitados por un ataque coordinado de flujo de ping, utilizando diversos sistemas con conexiones de banda ancha previamente vulnerados, que actuaban como <em class="firstterm">zombies</em>, o que redireccionaban nodos de transmisiÃ³n. </td></tr><tr><td>Los paquetes fuentes son usualmente moldeados (asÃ como reenviados), investigando sobre la verdadera fuente del ataque. </td></tr><tr><td>Los avances en el filtrado de la entrada (IETF rfc2267) con <code class="command">iptables</code> y con sistemas detecciÃ³n de intrusos como <code class="command">snort</code> ayudan a los administradores a rastrear y prevenir ataques de DoS distribuido. </td></tr></table>
					</td></tr></tbody></table></div><h6>Tabla 1.1. Debilidades comunes</h6></div><br class="table-break"/></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Threats_to_Workstation_and_Home_PC_Security-Vulnerable_Client_Applications.html"><strong>Anterior</strong>1.3.4.2. Aplicaciones de tipo cliente vulnerables</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Security_Updates.html"><strong>Siguiente</strong>1.5. Actualizaciones de seguridad</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation-Instructions.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.8.2. Instrucciones paso a paso para su instalaciÃ³n</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html" title="3.8. Archivos Encriptados 7-Zip"/><link rel="prev" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html" title="3.8. Archivos Encriptados 7-Zip"/><link rel="next" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Usage_Instructions.html" title="3.8.3. Instrucciones paso a paso para su utilizaciÃ³n"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href=
 "http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Usage_Instructions.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="3.8.2. Instrucciones paso a paso para su instalaciÃ³n"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation-Instructions">3.8.2. Instrucciones paso a paso para su instalaciÃ³n</h3></div></div></div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					Abra una terminal: <code class="code">Haga clic sobre ''Aplicaciones'' -> ''Herramientas del Sistema'' -> ''Terminal''</code>
				</div></li><li class="listitem"><div class="para">
					Instale 7-Zip con permisos de usuario sudo: <code class="code">sudo yum install p7zip</code>
				</div></li><li class="listitem"><div class="para">
					Cierre la terminal: <code class="code">exit</code>
				</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html"><strong>Anterior</strong>3.8. Archivos Encriptados 7-Zip</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Usage_Instructions.html"><strong>Siguiente</strong>3.8.3. Instrucciones paso a paso para su utilizac...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Things_of_note.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.8.4. Elementos para prestar atenciÃ³n</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html" title="3.8. Archivos Encriptados 7-Zip"/><link rel="prev" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Usage_Instructions.html" title="3.8.3. Instrucciones paso a paso para su utilizaciÃ³n"/><link rel="next" href="sect-Security_Guide-Encryption-Using_GPG.html" title="3.9. Utilizando GNU Privacy Guard (GnuPG)"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedora
 project.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Usage_Instructions.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-Using_GPG.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="3.8.4. Elementos para prestar atenciÃ³n"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Things_of_note">3.8.4. Elementos para prestar atenciÃ³n</h3></div></div></div><div class="para">
			7-Zip no se encuentra instalado por defecto en los sistemas operativos Microsoft Windows o Mac OS X. Si necesita utilizar sus archivos 7-Zip en alguna de estas plataformas, necesitarÃ¡ instalar la versiÃ³n apropiada de 7-Zip en los equipos correspondientes. Vea la <a href="http://www.7-zip.org/download.html">pÃ¡gina de descargas</a>.
		</div><div class="para">
			La aplicaciÃ³n "File Roller" de GNOME reconocerÃ¡ sus archivos .7z e intentarÃ¡ abrirlos sin Ã©xito. En su lugar recibirÃ¡ el siguiente mensaje: "Ha ocurrido un error al intentar cargar el archivo". Esto es debido a que actualmente File Roller no tiene soporte para la extracciÃ³n de archivo 7-Zip. Un reporte por este error ya ha sido enviado ([http://bugzilla.gnome.org/show_bug.cgi?id=490732 Gnome Bug 490732]).
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Usage_Instructions.html"><strong>Anterior</strong>3.8.3. Instrucciones paso a paso para su utilizac...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-Using_GPG.html"><strong>Siguiente</strong>3.9. Utilizando GNU Privacy Guard (GnuPG)</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Usage_Instructions.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.8.3. Instrucciones paso a paso para su utilizaciÃ³n</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html" title="3.8. Archivos Encriptados 7-Zip"/><link rel="prev" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation-Instructions.html" title="3.8.2. Instrucciones paso a paso para su instalaciÃ³n"/><link rel="next" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Things_of_note.html" title="3.8.4. Elementos para prestar atenciÃ³n"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Sit
 e"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation-Instructions.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Things_of_note.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="3.8.3. Instrucciones paso a paso para su utilizaciÃ³n"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Usage_Instructions">3.8.3. Instrucciones paso a paso para su utilizaciÃ³n</h3></div></div></div><div class="para">
			Al seguir las siguientes instrucciones, usted va a comprimir y encriptar su directorio "Documentos". Su directorio "Documentos" original va a permanecer inalterado. Esta tÃ©cnica puede ser aplicada a cualquier directorio o archivo al que usted tenga acceso en su sistema de archivos.
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					Abra una terminal: <code class="code">Haga clic sobre ''Aplicaciones'' -> ''Herramientas del Sistema'' -> ''Terminal''</code>
				</div></li><li class="listitem"><div class="para">
					Comprima y Encripte: (ingrese una contraseÃ±a cuando le sea pedido) <code class="code">7za a -mhe=on -ms=on -p Documentos.7z Documentos/</code>
				</div></li></ul></div><div class="para">
			El directorio "Documentos" ahora se encuentra comprimido y encriptado. Las instrucciones siguientes trasladarÃ¡n el archivo encriptado hacia alguna otra parte y entonces lo descomprimirÃ¡.
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					Cree un directorio nuevo: <code class="code">mkdir lugarnuevo</code>
				</div></li><li class="listitem"><div class="para">
					Traslade el archivo encriptado: <code class="code">mv Documentos.7z lugarnuevo</code>
				</div></li><li class="listitem"><div class="para">
					PosiciÃ³nese en el nuevo directorio: <code class="code">cd lugarnuevo</code>
				</div></li><li class="listitem"><div class="para">
					Descomprima el archivo: (ingrese la contraseÃ±a cuando se le pida) <code class="code">7za x Documentos.7z</code>
				</div></li></ul></div><div class="para">
			El archivo ya ha sido descomprimido en el nuevo directorio. Las instrucciones siguientes van a deshacer los pasos realizados y devolverÃ¡n a su computadora el estado anterior en el que se encontraba.
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					DirÃjase al directorio superior inmediato: <code class="code">cd ..</code>
				</div></li><li class="listitem"><div class="para">
					Borre el archivo de prueba creado y sus contenidos extraÃdos: <code class="code">rm -r lugarnuevo</code>
				</div></li><li class="listitem"><div class="para">
					Cierre la terminal: <code class="code">exit</code>
				</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation-Instructions.html"><strong>Anterior</strong>3.8.2. Instrucciones paso a paso para su instalac...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Things_of_note.html"><strong>Siguiente</strong>3.8.4. Elementos para prestar atenciÃ³n</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.8. Archivos Encriptados 7-Zip</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Encryption.html" title="CapÃtulo 3. EncriptaciÃ³n"/><link rel="prev" href="sect-Security_Guide-LUKS_Disk_Encryption-Links_of_Interest.html" title="3.7.5. Enlaces de interÃ©s"/><link rel="next" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation-Instructions.html" title="3.8.2. Instrucciones paso a paso para su instalaciÃ³n"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Commo
 n_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-LUKS_Disk_Encryption-Links_of_Interest.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation-Instructions.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="section" title="3.8. Archivos Encriptados 7-Zip"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives">3.8. Archivos Encriptados 7-Zip</h2></div></div></div><div class="para">
		<a href="http://www.7-zip.org/">7-Zip</a> es una nueva herramienta de compresiÃ³n multiplataforma que tambiÃ©n puede realizar poderosos encriptados (AES-256) para proteger los contenidos de un archivo. Esto es muy Ãºtil cuando necesite trasladar datos entre diferentes computadoras que utilicen distintos sistemas operativos, y quiera utilizar para ello una herramienta de encriptado portÃ¡til (por ejemplo, Linux en el hogar, Windows en el trabajo).
	</div><div class="section" title="3.8.1. InstalaciÃ³n de 7-Zip en Fedora"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation">3.8.1. InstalaciÃ³n de 7-Zip en Fedora</h3></div></div></div><div class="para">
			7-Zip no es un paquete que venga instalado por defecto con Fedora, pero se encuentra disponible para descargarlo desde el repositorio. Una vez instalado, el paquete se irÃ¡ actualizando cada vez que sea necesario, del mismo modo que el resto del software en su sistema, sin necesitar para ello ningÃºn tipo de atenciÃ³n especial.
		</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-LUKS_Disk_Encryption-Links_of_Interest.html"><strong>Anterior</strong>3.7.5. Enlaces de interÃ©s</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation-Instructions.html"><strong>Siguiente</strong>3.8.2. Instrucciones paso a paso para su instalac...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Encryption-Protecting_Data_at_Rest-Full_Disk_Encryption.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.2. EncriptaciÃ³n completa del disco</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Encryption.html" title="CapÃtulo 3. EncriptaciÃ³n"/><link rel="prev" href="chap-Security_Guide-Encryption.html" title="CapÃtulo 3. EncriptaciÃ³n"/><link rel="next" href="Security_Guide-Encryption-Protecting_Data_at_Rest-File_Based_Encryption.html" title="3.3. EncriptaciÃ³n basada en archivo"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentat
 ion Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-Encryption.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="Security_Guide-Encryption-Protecting_Data_at_Rest-File_Based_Encryption.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="3.2. EncriptaciÃ³n completa del disco"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Encryption-Protecting_Data_at_Rest-Full_Disk_Encryption">3.2. EncriptaciÃ³n completa del disco</h2></div></div></div><div class="para">
			Encriptar todo un disco, o toda una particiÃ³n, es una de las mejores maneras de proteger sus datos. De esta manera no solo se protege a cada uno de los archivos, sino que tambiÃ©n se protege el almacenamiento temporal, que puede llegar a contener parte de estos archivos. Al encriptar el disco entero, y al ser todos sus archivos protegidos, no tendrÃ¡ que preocuparse acerca de la elecciÃ³n sobre quÃ© archivos quiere proteger, y dejar abierta la posibilidad de olvidarse de alguno.
		</div><div class="para">
			Desde la liberaciÃ³n de Fedora 9, Ã©sta y cualquier versiÃ³n posterior tiene soporte nativo para Encriptado LUKS. LUKS (por las iniciales en inglÃ©s de Linux Unified Key Setup-on-disk-format) va a encriptar las particiones de su disco rÃgido de modo que cuando su computadora se encuentre apagada, sus datos estarÃ¡n protegidos. Esto tambiÃ©n protegerÃ¡ los datos de su computadora de atacantes que intenten ingresar a su equipo en el modo de usuario Ãºnico, o que hubieran conseguido el acceso de otra forma.
		</div><div class="para">
			Las herramientas de encriptado total del disco rÃgido, como LUKS, solo protegen sus datos cuando su computadora se encuentra apagada. Una vez que la computadora se encienda, y LUKS haya decriptado el disco, los archivos en ese disco quedarÃ¡n disponibles para cualquiera que pueda acceder normalmente a ellos. Para proteger sus archivos cuando su computadora estÃ© encendida, utilice la herramienta de encriptado total del disco combinada con alguna otra, como ser por ejemplo, el encriptado de archivos. Recuerde tambiÃ©n bloquear su computadora siempre que se encuentre lejos de ella. Una frase de acceso protegiendo el salvapantallas, establecida para que se active a los pocos minutos de inactividad del equipo, es una buena forma de mantener a los intrusos alejados de Ã©l.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-Encryption.html"><strong>Anterior</strong>CapÃtulo 3. EncriptaciÃ³n</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="Security_Guide-Encryption-Protecting_Data_at_Rest-File_Based_Encryption.html"><strong>Siguiente</strong>3.3. EncriptaciÃ³n basada en archivo</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Encryption-Using_GPG-About_Public_Key_Encryption.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.9.4. Acerca del encriptado de la clave pÃºblica</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Encryption-Using_GPG.html" title="3.9. Utilizando GNU Privacy Guard (GnuPG)"/><link rel="prev" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE.html" title="3.9.3. Crear una clave GPG mediante la lÃnea de comandos"/><link rel="next" href="chap-Security_Guide-General_Principles_of_Information_Security.html" title="CapÃtulo 4. Principios Generales sobre la Seguridad de la InformaciÃ³n"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product 
 Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-General_Principles_of_Information_Security.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="3.9.4. Acerca del encriptado de la clave pÃºblica"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Encryption-Using_GPG-About_Public_Key_Encryption">3.9.4. Acerca del encriptado de la clave pÃºblica</h3></div></div></div><div class="orderedlist"><ol><li class="listitem"><div class="para">
					<a href="http://en.wikipedia.org/wiki/Public-key_cryptography">Wikipedia - Public Key Cryptography</a>
				</div></li><li class="listitem"><div class="para">
					<a href="http://computer.howstuffworks.com/encryption.htm">HowStuffWorks - Encryption</a>
				</div></li></ol></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE.html"><strong>Anterior</strong>3.9.3. Crear una clave GPG mediante la lÃnea de c...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-General_Principles_of_Information_Security.html"><strong>Siguiente</strong>CapÃtulo 4. Principios Generales sobre la Segurid...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.9.3. Crear una clave GPG mediante la lÃnea de comandos</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Encryption-Using_GPG.html" title="3.9. Utilizando GNU Privacy Guard (GnuPG)"/><link rel="prev" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE1.html" title="3.9.2. Crear claves GPG en KDE"/><link rel="next" href="sect-Security_Guide-Encryption-Using_GPG-About_Public_Key_Encryption.html" title="3.9.4. Acerca del encriptado de la clave pÃºblica"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="
 http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE1.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-Using_GPG-About_Public_Key_Encryption.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="3.9.3. Crear una clave GPG mediante la lÃnea de comandos"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE">3.9.3. Crear una clave GPG mediante la lÃnea de comandos</h3></div></div></div><div class="para">
			Use el siguiente comando: <code class="code">gpg --gen-key</code>
		</div><div class="para">
			El siguiente comando genera un par de claves consistentes en una clave pÃºblica y otra privada. El resto de las personas utilizan su clave pÃºblica para autenticar y/o decriptar sus comunicaciones. Distribuya su clave pÃºblica lo mayor que pueda, especialmente a todos aquellos que quieran recibir comunicaciones autÃ©nticas por parte suya, como ser por ejemplo una lista de correo. El proyecto de documentaciÃ³n de Fedora, por ejemplo, le pide a sus participantes que incluyan su llave pÃºblica GPG en su correo introductorio.
		</div><div class="para">
			Una serie de mensajes lo dirigen a lo largo del proceso. Presione la tecla <code class="code">Enter</code> para indicar el valor establecido por defecto si asÃ lo desea. El primer mensaje le pide que elija el tipo de clave que prefiere:
		</div><div class="para">
			Por favor elija quÃ© tipo de clave desea: (1) DSA y ElGamal (por defecto) (2) DSA (sÃ³lo firma) (4) RSA (sÃ³lo firma) Â¿Su elecciÃ³n? En la mayorÃa de los casos, la establecida por defecto es la elecciÃ³n correcta. Una clave DSA/ElGamal le permite no solo firmar documentos, sino tambiÃ©n encriptar archivos.
		</div><div class="para">
			A continuaciÃ³n, elija el tamaÃ±o de la clave: el mÃnimo es de 768 bits, el establecido por defecto es de 1024 bits, el mayor tamaÃ±o sugerido es de 2048 bits. Â¿QuÃ© tamaÃ±o prefiere? (1024). Nuevamente, el establecido por defecto es suficiente para la mayorÃa de los usuarios, y representa un nivel de seguridad "extremadamente" poderoso.
		</div><div class="para">
			A continuaciÃ³n, elija cuÃ¡ndo expiarÃ¡ la clave. Es una buena idea elegir una fecha de expiraciÃ³n en lugar de elegir la opciÃ³n establecida por defecto, que es "ninguna". Si, por ejemplo, la direcciÃ³n de correo electrÃ³nico de la clave deja de ser vÃ¡lida, una fecha de expiraciÃ³n le recordarÃ¡ a los demÃ¡s que dejen de utilizar esa clave pÃºblica.
		</div><div class="para">
			Por favor indique por cuÃ¡nto tiempo la clave debe ser vÃ¡lida. 0 = la calve no expira, d = la clave expira en n dÃas, w = la clave expira en n semanas, m = la clave expira en n meses, y = la clave expira en n aÃ±os. Â¿La clave es vÃ¡lida por? (0)
		</div><div class="para">
			Ingresar un valor de <code class="code">1y</code>, por ejemplo, hace que la clave sea vÃ¡lida durante un aÃ±o. (Puede modificar esta fecha de expiraciÃ³n luego que la clave haya sido generada, si cambiÃ³ de parecer.)
		</div><div class="para">
			Antes que el programa <code class="code">gpg</code> le pida informaciÃ³n para la firma, aparece el siguiente mensaje: <code class="code">Es correcto (y/n)?</code>. Ingrese <code class="code">y</code> para finalizar el proceso.
		</div><div class="para">
			A continuaciÃ³n, ingrese su nombre y direcciÃ³n de correo electrÃ³nico. Recuerde que este proceso se trata de autenticarlo a usted como un individuo real. Por esta razÃ³n, incluya su verdadero nombre. No utilice apodos o alias, ya que esto oscurece o disimula su identidad.
		</div><div class="para">
			Ingrese su direcciÃ³n de correo electrÃ³nico real para su clave GPG. Si elige una falsa o inexistente, serÃ¡ mÃ¡s difÃcil para los demÃ¡s encontrar su clave pÃºblica. Esto hace que autenticar sus comunicaciones sea mÃ¡s difÃcil. Si estÃ¡ utilizando esta clave GPG para presentarse en una lista de correo, por ejemplo, ingrese la direcciÃ³n de correo electrÃ³nico que usted utiliza con esa lista.
		</div><div class="para">
			Utilice el campo de comentario para incluir un apodo o cualquier otra informaciÃ³n. (Algunas personas utilizan diferentes claves para diferentes propÃ³sitos, e identifican cada clave con un comentario, como por ejemplo "Oficina", o "Proyectos de cÃ³digo abierto".)
		</div><div class="para">
			En el mensaje de confirmaciÃ³n, ingrese la letra O para continuar si todas las opciones son correctas, o utilice las opciones propuestas para solucionar cualquier problema. Ingrese una frase de acceso para su clave secreta. El programa GPG le pide que ingrese dos veces su frase de acceso para asegurarse que no haya cometido errores de tipeo.
		</div><div class="para">
			Por Ãºltimo, <code class="code">gpg</code> genera datos aleatorios para hacer que su clave sea lo mÃ¡s autÃ©ntica posible. Mueva su ratÃ³n, presione teclas de manera azarosa, o realice alguna otra tarea en el sistema durante este paso para acelerar el proceso. Una vez ha finalizado, sus claves estÃ¡n completas y listas para ser utilizadas:
		</div><pre class="screen">pub  1024D/1B2AFA1C 2005-03-31 Juan Perez (Fedora Docs Project) <jperez at ejemplo.com>
Key fingerprint = 117C FE83 22EA B843 3E86  6486 4320 545E 1B2A FA1C
sub  1024g/CEA4B22E 2005-03-31 [expires: 2006-03-31]
</pre><div class="para">
			La huella digital de la clave es una "firma" abreviada de su clave. Le permite confirmar a otros que han recibido su clave pÃºblica actual sin haber sido alterada. usted no necesita anotar esta huella. Para verla siempre que lo desee, utilice el siguiente comando, sustituyendo su direcciÃ³n de correo electrÃ³nico: <code class="code"> gpg --fingerprint jperez at ejemplo.com </code>
		</div><div class="para">
			Su "ID de clave GPG" consiste en 8 dÃgitos hexadecimales identificando la llave pÃºblica. En el ejemplo, el ID de clave GPG es 1B2AFA1C. En la mayorÃa de los casos, si se le pregunta por el ID de su clave deberÃa anteponer "0x" al ID de la clave, como en "0x1B2AFA1C".
		</div><div class="warning"><h2>Advertencia</h2><div class="para">
				Si se olvida su frase de acceso, la clave no podrÃ¡ ser utilizada y cualquier dato encriptado por ella serÃ¡ perdido.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE1.html"><strong>Anterior</strong>3.9.2. Crear claves GPG en KDE</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-Using_GPG-About_Public_Key_Encryption.html"><strong>Siguiente</strong>3.9.4. Acerca del encriptado de la clave pÃºblica</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE1.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.9.2. Crear claves GPG en KDE</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Encryption-Using_GPG.html" title="3.9. Utilizando GNU Privacy Guard (GnuPG)"/><link rel="prev" href="sect-Security_Guide-Encryption-Using_GPG.html" title="3.9. Utilizando GNU Privacy Guard (GnuPG)"/><link rel="next" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE.html" title="3.9.3. Crear una clave GPG mediante la lÃnea de comandos"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img s
 rc="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-Using_GPG.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="3.9.2. Crear claves GPG en KDE"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE1">3.9.2. Crear claves GPG en KDE</h3></div></div></div><div class="para">
			Inicie el programa KGpg desde el menÃº principal seleccionando Lanzador de Aplicaciones > Utilidades > Herramienta de Encriptado. Si no ha utilizado nunca KGpg, el programa lo conduce a travÃ©s del proceso para crear su propio par de claves GPG. Un cuadro de diÃ¡logo le pedirÃ¡ crear un nuevo par. Ingrese su nombre, direcciÃ³n de correo electrÃ³nico y un comentario opcional. Puede tambiÃ©n elegir un tiempo de duraciÃ³n para su clave, y tambiÃ©n su fuerza (nÃºmero de bits) y algoritmos. El siguiente cuadro de diÃ¡logo le solicita una frase de acceso. En este punto, su clave aparece en la ventana principal de <code class="code">KGpg</code>
		</div><div class="warning"><h2>Advertencia</h2><div class="para">
				Si se olvida su frase de acceso, la clave no podrÃ¡ ser utilizada y cualquier dato encriptado por ella serÃ¡ perdido.
			</div></div><div class="para">
			Para encontrar su ID de clave GPG, busque en la columna "ID de Clave" junto a la clave creada reciÃ©n. En la mayorÃa de los casos, si se le solicita el ID de la clave, deberÃa aÃ±adir "0x" al ID de la clave, como por ejemplo "0x6789ABCD". DeberÃa realizar un respaldo de su clave privada y almacenarla en algÃºn sitio seguro.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-Using_GPG.html"><strong>Anterior</strong>3.9. Utilizando GNU Privacy Guard (GnuPG)</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE.html"><strong>Siguiente</strong>3.9.3. Crear una clave GPG mediante la lÃnea de c...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Encryption-Using_GPG.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.9. Utilizando GNU Privacy Guard (GnuPG)</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Encryption.html" title="CapÃtulo 3. EncriptaciÃ³n"/><link rel="prev" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Things_of_note.html" title="3.8.4. Elementos para prestar atenciÃ³n"/><link rel="next" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE1.html" title="3.9.2. Crear claves GPG en KDE"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_C
 ontent/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Things_of_note.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE1.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="section" title="3.9. Utilizando GNU Privacy Guard (GnuPG)"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Encryption-Using_GPG">3.9. Utilizando GNU Privacy Guard (GnuPG)</h2></div></div></div><div class="para">
		GPG es utilizado para que usted pueda identificarse y autenticar sus comunicaciones, incluyendo aquellas con personas que no conoce. GPG permite que cualquiera que lea un correo electrÃ³nico firmado con GPG pueda verificar su autenticidad. En otras palabras, GPG permite que el destinatario de una comunicaciÃ³n firmada por usted, tenga un grado de certeza razonable acerca de que fue usted quiÃ©n efectivamente la enviÃ³. GPG es Ãºtil debido a que ayuda a prevenir la modificaciÃ³n de cÃ³digos por terceros, o la intercepciÃ³n y alteraciÃ³n de mensajes.
	</div><div class="section" title="3.9.1. Crear claves GPG en GNOME"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Encryption-Using_GPG-Keys_in_GNOME">3.9.1. Crear claves GPG en GNOME</h3></div></div></div><div class="para">
			Instale la herramienta Seahorse, que hace que la administraciÃ³n de claves GPG sea mÃ¡s sencilla. Desde el menÃº principal, elija <code class="code">Sistema > AdministraciÃ³n > Agregar/Eliminar Software</code>, y aguarde a que PackageKit se inicie. Ingrese <code class="code">Seahorse</code> en el cuadro de texto y haga que se inicie la bÃºsqueda de los paquetes. Tilde la casilla junto al paquete denominado "seahorse" y haga clic en "Aplicar" para que el software sea aÃ±adido. Puede tambiÃ©n instalar <code class="code">Seahorse</code> mediante lÃneas de comando, ingresando en una terminal <code class="code">su -c "yum install seahorse"</code>.
		</div><div class="para">
			Para crear una clave, desde el menÃº "Aplicaciones > Accesorios" seleccione "ContraseÃ±as y EncriptaciÃ³n de Claves", lo que inicia la aplicaciÃ³n <code class="code">Seahorse</code>. Desde el menÃº "Clave", seleccione "Crear nueva clave...", luego "clave GPG", y luego "Continuar". Ingrese su nombre completo, direcciÃ³n de correo electrÃ³nico, y un comentario adicional optativo que explique quiÃ©n es usted (por ejemplo: Juan PÃ©rez, jperez at ejemplo.com, El Grande). Haga clic en "Crear". Se mostrarÃ¡ un diÃ¡logo pidiÃ©ndole una frase de acceso para la clave. Elija una frase de acceso poderosa, pero tambiÃ©n fÃ¡cil de recordar para usted. Haga clic en "Aceptar" y la clave serÃ¡ creada.
		</div><div class="warning"><h2>Advertencia</h2><div class="para">
				Si se olvida su frase de acceso, la clave no podrÃ¡ ser utilizada y cualquier dato encriptado por ella serÃ¡ perdido.
			</div></div><div class="para">
			Para encontrar su ID de clave GPG, busque en la columna "ID de Clave" junto a la clave creada reciÃ©n. En la mayorÃa de los casos, si se le solicita el ID de la clave, deberÃa aÃ±adir "0x" al ID de la clave, como por ejemplo "0x6789ABCD". DeberÃa realizar un respaldo de su clave privada y almacenarla en algÃºn sitio seguro.
		</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Things_of_note.html"><strong>Anterior</strong>3.8.4. Elementos para prestar atenciÃ³n</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE1.html"><strong>Siguiente</strong>3.9.2. Crear claves GPG en KDE</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Evaluating_the_Tools-Anticipating_Your_Future_Needs.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.2.3.5. Anticipando sus necesidades futuras</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html" title="1.2.3. Herramientas de evaluaciÃ³n"/><link rel="prev" href="sect-Security_Guide-Evaluating_the_Tools-VLAD_the_Scanner.html" title="1.2.3.4. VLAD el escÃ¡ner"/><link rel="next" href="sect-Security_Guide-Attackers_and_Vulnerabilities.html" title="1.3. Atacantes y vulnerabilidades"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Com
 mon_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Evaluating_the_Tools-VLAD_the_Scanner.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Attackers_and_Vulnerabilities.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="1.2.3.5. Anticipando sus necesidades futuras"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Evaluating_the_Tools-Anticipating_Your_Future_Needs">1.2.3.5. Anticipando sus necesidades futuras</h4></div></div></div><div class="para">
				De acuerdo a sus intenciones y a sus herramientas, existen muchas otras herramientas disponibles. Estas son herramientas para redes inalÃ¡mbricas, redes Novell, sistemas Windows, sistemas Linux, y mÃ¡s. Otro componente fundamental a la hora de realizar evaluaciones puede incluir la revisiÃ³n de la seguridad fÃsica, visualizaciÃ³n personal o evaluaciones de redes de tipo voz/PBX. Conceptos novedosos como <em class="firstterm">caminata de guerra</em>, que implica analizar el perÃmetro de la estructura fÃsica de su empresa en busca de debilidades en la red inalÃ¡mbrica, son algunos de los conceptos recientes que podrÃa investigar y, de ser necesario, incorporarlos a sus evaluaciones. La imaginaciÃ³n y la exposiciÃ³n son los Ãºnicos lÃmites a la hora de planificar y llevar a cabo evaluaciones de seguridad.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Evaluating_the_Tools-VLAD_the_Scanner.html"><strong>Anterior</strong>1.2.3.4. VLAD el escÃ¡ner</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Attackers_and_Vulnerabilities.html"><strong>Siguiente</strong>1.3. Atacantes y vulnerabilidades</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Evaluating_the_Tools-Nessus.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.2.3.2. Nessus</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html" title="1.2.3. Herramientas de evaluaciÃ³n"/><link rel="prev" href="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html" title="1.2.3. Herramientas de evaluaciÃ³n"/><link rel="next" href="sect-Security_Guide-Evaluating_the_Tools-Nikto.html" title="1.2.3.3. Nikto"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png
 " alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Evaluating_the_Tools-Nikto.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="1.2.3.2. Nessus"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Evaluating_the_Tools-Nessus">1.2.3.2. Nessus</h4></div></div></div><div class="para">
				Nessus es un examinador de seguridad para cualquier tipo de servicios. La arquitectura de tipo complementos de Nessus permite a los usuarios personalizarlo de acuerdo a los requerimientos de sus sistemas o redes. Como cualquier otro examinador, la eficiencia de Nessus es directamente proporcional a la base de datos de la que depende. Afortunadamente, Nessus es actualizado periÃ³dicamente y entre sus recursos se encuentran el de ofrecer informes completos, anÃ¡lisis de equipos, y bÃºsqueda de debilidades en tiempo real. Recuerde que siempre pueden existir resultados falsos, aÃºn en herramientas tan poderosas y tan frecuentemente actualizadas como Nessus.
			</div><div class="note"><h2>Nota</h2><div class="para">
					The Nessus client and server software is included in Fedora repositories but requires a subscription to use. It has been included in this document as a reference to users who may be interested in using this popular application.
				</div></div><div class="para">
				Para obtener mayor informaciÃ³n acerca de Nessus, visite el sitio web oficial en la siguiente URL:
			</div><div class="para">
				<a href="http://www.nessus.org/">http://www.nessus.org/</a>
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html"><strong>Anterior</strong>1.2.3. Herramientas de evaluaciÃ³n</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Evaluating_the_Tools-Nikto.html"><strong>Siguiente</strong>1.2.3.3. Nikto</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Evaluating_the_Tools-Nikto.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.2.3.3. Nikto</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html" title="1.2.3. Herramientas de evaluaciÃ³n"/><link rel="prev" href="sect-Security_Guide-Evaluating_the_Tools-Nessus.html" title="1.2.3.2. Nessus"/><link rel="next" href="sect-Security_Guide-Evaluating_the_Tools-VLAD_the_Scanner.html" title="1.2.3.4. VLAD el escÃ¡ner"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documenta
 tion Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Evaluating_the_Tools-Nessus.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Evaluating_the_Tools-VLAD_the_Scanner.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="1.2.3.3. Nikto"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Evaluating_the_Tools-Nikto">1.2.3.3. Nikto</h4></div></div></div><div class="para">
				Nikto es un excelente examinador de programas de interfaz comÃºn de puerta de enlace (CGI, por las iniciales en inglÃ©s de Common Gateway Interface). Nikto no sÃ³lo verifica debilidades CGI, sino que lo hace de una forma evasiva, de modo de poder evitar sistemas de detecciÃ³n de intrusiones. Se ofrece con informaciÃ³n detallada que deberÃa ser cuidadosamente leÃda antes de ejecutar el programa. Si usted posee servidores Web ofreciendo programas CGI, Nikto puede ser una herramienta excelente para verificar la seguridad de estos servidores.
			</div><div class="para">
				MÃ¡s informaciÃ³n sobre Nikto se puede encontrar en la siguiente URL:
			</div><div class="para">
				<a href="http://www.cirt.net/code/nikto.shtml">http://www.cirt.net/code/nikto.shtml</a>
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Evaluating_the_Tools-Nessus.html"><strong>Anterior</strong>1.2.3.2. Nessus</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Evaluating_the_Tools-VLAD_the_Scanner.html"><strong>Siguiente</strong>1.2.3.4. VLAD el escÃ¡ner</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Evaluating_the_Tools-VLAD_the_Scanner.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.2.3.4. VLAD el escÃ¡ner</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html" title="1.2.3. Herramientas de evaluaciÃ³n"/><link rel="prev" href="sect-Security_Guide-Evaluating_the_Tools-Nikto.html" title="1.2.3.3. Nikto"/><link rel="next" href="sect-Security_Guide-Evaluating_the_Tools-Anticipating_Your_Future_Needs.html" title="1.2.3.5. Anticipando sus necesidades futuras"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Cont
 ent/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Evaluating_the_Tools-Nikto.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Evaluating_the_Tools-Anticipating_Your_Future_Needs.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="1.2.3.4. VLAD el escÃ¡ner"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Evaluating_the_Tools-VLAD_the_Scanner">1.2.3.4. VLAD el escÃ¡ner</h4></div></div></div><div class="para">
				VLAD es un examinador de debilidades desarrollado por el equipo <acronym class="acronym">RAZOR</acronym> de Bindview, Inc., que verifica en la lista SANS de los diez problemas de seguridad mÃ¡s comunes (problemas SNMP, problemas por compartir archivos, etc.). Si bien no es tan completo como Nessus, vale la pena investigar VLAD.
			</div><div class="note"><h2>Nota</h2><div class="para">
					VLAD no se incluye con Fedora y no estÃ¡ soportado. Se ha incluido en este documento como una referencia para aquellos usuarios que podrÃan estar interesados en utilizar esta conocida aplicaciÃ³n.
				</div></div><div class="para">
				MÃ¡s informaciÃ³n sobre VLAD se puede encontrar el sitio web del equipo RAZOR en la siguiente URL:
			</div><div class="para">
				<a href="http://www.bindview.com/Support/Razor/Utilities/">http://www.bindview.com/Support/Razor/Utilities/</a>
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Evaluating_the_Tools-Nikto.html"><strong>Anterior</strong>1.2.3.3. Nikto</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Evaluating_the_Tools-Anticipating_Your_Future_Needs.html"><strong>Siguiente</strong>1.2.3.5. Anticipando sus necesidades futuras</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-FORWARD_and_NAT_Rules-DMZs_and_IPTables.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.5.3. IPTables y las ZDM</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html" title="2.8.5. Reglas FORWARD y NAT"/><link rel="prev" href="sect-Security_Guide-FORWARD_and_NAT_Rules-Prerouting.html" title="2.8.5.2. Preruteo"/><link rel="next" href="sect-Security_Guide-Firewalls-Malicious_Software_and_Spoofed_IP_Addresses.html" title="2.8.6. Software malicioso y suplantaciÃ³n de direcciones IP"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Comm
 on_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-FORWARD_and_NAT_Rules-Prerouting.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-Malicious_Software_and_Spoofed_IP_Addresses.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.8.5.3. IPTables y las ZDM"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-FORWARD_and_NAT_Rules-DMZs_and_IPTables">2.8.5.3. IPTables y las ZDM</h4></div></div></div><div class="para">
				Puede crear reglas de <code class="command">iptables</code> para enrutar trÃ¡fico a ciertos equipos, como por ejemplo un servidor HTTP o FTP dedicado, en una <em class="firstterm">zona desmilitarizada</em> (<acronym class="acronym">DMZ</acronym>, por las iniciales en inglÃ©s de DeMilitarized Zone). Un <acronym class="acronym">DMZ</acronym> es una subred local especial dedicada a proveer servicios en un transporte pÃºblico, como lo es Internet.
			</div><div class="para">
				Por ejemplo, para establecer una regla para enrutar peticiones HTTP entrantes a un servidor dedicado HTTP en 10-0-4-2 (fuera del rango 192.168.1.0/24 de la LAN), NAT utiliza la tabla <code class="computeroutput">PREROUTING</code> para reenviar los paquetes a la direcciÃ³n apropiada:
			</div><pre class="screen">[root at miServidor ~ ] # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 10.0.4.2:80
</pre><div class="para">
				Con este comando, todas las conexiones HTTP al puerto 80 provenientes desde fuera de la LAN son encaminadas al servidor HTTP en la red separada del resto de la red interna. Esta forma de segmentaciÃ³n de red puede proveer seguridad permitiendo conexiones HTTP a mÃ¡quinas en la red.
			</div><div class="para">
				Si el servidor HTTP estÃ¡ configurado para aceptar conexiones seguras, entonces el puerto 443 debe ser reenviado tambiÃ©n.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-FORWARD_and_NAT_Rules-Prerouting.html"><strong>Anterior</strong>2.8.5.2. Preruteo</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-Malicious_Software_and_Spoofed_IP_Addresses.html"><strong>Siguiente</strong>2.8.6. Software malicioso y suplantaciÃ³n de direc...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-FORWARD_and_NAT_Rules-Prerouting.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.5.2. Preruteo</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html" title="2.8.5. Reglas FORWARD y NAT"/><link rel="prev" href="sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html" title="2.8.5. Reglas FORWARD y NAT"/><link rel="next" href="sect-Security_Guide-FORWARD_and_NAT_Rules-DMZs_and_IPTables.html" title="2.8.5.3. IPTables y las ZDM"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documen
 tation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-FORWARD_and_NAT_Rules-DMZs_and_IPTables.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.8.5.2. Preruteo"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-FORWARD_and_NAT_Rules-Prerouting">2.8.5.2. Preruteo</h4></div></div></div><div class="para">
				Si usted posee un servidor en su red interna que quiere que estÃ© disponible desde el exterior, puede utilizar <code class="option">-j DNAT</code>, objetivo de la cadena PREROUTING de NAT para especificar una IP de destino, y un puerto donde los paquetes recibidos que pidan una conexiÃ³n a su servicio interno, puedan ser reenviados.
			</div><div class="para">
				Por ejemplo, si quiere reenviar pedidos HTTP entrantes a su servidor HTTP Apache dedicado en 172.31.0.23, use el siguiente comando:
			</div><pre class="screen">[root at miServidor ~ ] # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 172.31.0.23:80
</pre><div class="para">
				Esta regla especifica que la tabla <acronym class="acronym">nat</acronym> usa la cadena predefinida PREROUTING para enviar pedidos HTTP entrantes exclusivamente al la direcciÃ³n IP destino listado 172.31.0.23.
			</div><div class="note"><h2>Nota</h2><div class="para">
					Si tiene una polÃtica predeterminada de DROP en su cadena FORWARD, debe agregar una regla para reenviar todos los pedidos HTTP entrantes para que sea posible el ruteo NAT destino. Para hacerlo, use el siguiente comando:
				</div><pre class="screen">[root at miServidor ~ ] # iptables -A FORWARD -i eth0 -p tcp --dport 80 -d 172.31.0.23 -j ACCEPT
</pre><div class="para">
					Esta regla reenvÃa todos los pedidos HTTP entrantes desde el cortafuego al destino pretendido; el Servidor HTTP APache detrÃ¡s del cortafuego.
				</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html"><strong>Anterior</strong>2.8.5. Reglas FORWARD y NAT</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-FORWARD_and_NAT_Rules-DMZs_and_IPTables.html"><strong>Siguiente</strong>2.8.5.3. IPTables y las ZDM</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Firewalls-Additional_Resources.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.9. Recursos adicionales</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Firewalls.html" title="2.8. Cortafuegos"/><link rel="prev" href="sect-Security_Guide-Firewalls-IPv6.html" title="2.8.8. IPv6"/><link rel="next" href="sect-Security_Guide-Additional_Resources-Useful_Firewall_Websites.html" title="2.8.9.2. Sitios web Ãºtiles de cortafuego"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="doc
 nav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-IPv6.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Useful_Firewall_Websites.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.8.9. Recursos adicionales"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Firewalls-Additional_Resources">2.8.9. Recursos adicionales</h3></div></div></div><div class="para">
			Hay varios aspectos de cortafuegos y del subsistema Netfilter de Linux que no pueden ser cubiertos en este capÃtulo. Para mÃ¡s informaciÃ³n consulte las referencias que ofrecemos a continuaciÃ³n.
		</div><div class="section" title="2.8.9.1. DocumentaciÃ³n instalada del cortafuego"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Installed_Firewall_Documentation">2.8.9.1. DocumentaciÃ³n instalada del cortafuego</h4></div></div></div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						Vaya a la <a class="xref" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables">SecciÃ³nÂ 2.9, â€œIPTablesâ€</a> para obtener informaciÃ³n mÃ¡s detallada del comando <code class="command">iptables</code>, incluyendo definiciones de muchas opciones de comando.
					</div></li><li class="listitem"><div class="para">
						La pÃ¡gina man de <code class="command">iptables</code> contiene un resumen de las opciones.
					</div></li></ul></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-IPv6.html"><strong>Anterior</strong>2.8.8. IPv6</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Useful_Firewall_Websites.html"><strong>Siguiente</strong>2.8.9.2. Sitios web Ãºtiles de cortafuego</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.2. ConfiguraciÃ³n bÃ¡sica de un cortafuego</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Firewalls.html" title="2.8. Cortafuegos"/><link rel="prev" href="sect-Security_Guide-Firewalls.html" title="2.8. Cortafuegos"/><link rel="next" href="sect-Security_Guide-Basic_Firewall_Configuration-Enabling_and_Disabling_the_Firewall.html" title="2.8.2.2. Habilitando y deshabilitando el cortafuego"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" 
 alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Basic_Firewall_Configuration-Enabling_and_Disabling_the_Firewall.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.8.2. ConfiguraciÃ³n bÃ¡sica de un cortafuego"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration">2.8.2. ConfiguraciÃ³n bÃ¡sica de un cortafuego</h3></div></div></div><div class="para">
			Del mismo modo que el extintor de incendios en un edificio intenta prevenir que se propague un incendio, en una computadora, un cortafuegos intenta prevenir que algÃºn tipo de software malicioso se propague en su equipo. TambiÃ©n ayuda a prevenir que usuarios no autorizados accedan a su computadora.
		</div><div class="para">
			En una instalaciÃ³n por defecto de Fedora existe un cortafuegos entre su computadora o red, y cualquier otra red considerada como no segura, como por ejemplo lo es Internet. Determina quÃ© servicios en su computadora pueden ser accedidos por usuarios remotos. Un cortafuegos correctamente configurado puede incrementar enormemente la seguridad de su sistema. Se recomienda que configure un cortafuegos para cualquier sistema Fedora que tenga una conexiÃ³n a Internet.
		</div><div class="section" title="2.8.2.1. Herramienta de configuraciÃ³n de cortafuegos"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Basic_Firewall_Configuration-RHSECLEVELTOOL">2.8.2.1. <span class="application"><strong>Herramienta de configuraciÃ³n de cortafuegos</strong></span></h4></div></div></div><div class="para">
				En el proceso de instalaciÃ³n de Fedora, en la pantalla de <span class="guilabel"><strong>ConfiguraciÃ³n del Cortafuego</strong></span>, se le ofreciÃ³ la oportunidad de habilitar un cortafuego bÃ¡sico, asÃ como la posibilidad de utilizar ciertos dispositivos, servicios entrantes y puertos.
			</div><div class="para">
				Una vez finalizada la instalaciÃ³n, puede modificar las opciones elegidas mediante la utilizaciÃ³n de la <span class="application"><strong>Herramienta de configuraciÃ³n de cortafuegos</strong></span>.
			</div><div class="para">
				Para iniciar esta aplicaciÃ³n, use el siguiente comando:
			</div><pre class="screen">[root at myServer ~] # system-config-firewall
</pre><div class="figure" id="figu-Security_Guide-RHSECLEVELTOOL-RHSECLEVELTOOL"><div class="figure-contents"><div class="mediaobject"><img src="images/fed-firewall_config.png" alt="Herramienta de configuraciÃ³n de cortafuegos"/><div class="longdesc"><div class="para">
							ConfiguraciÃ³n del nivel de seguridad
						</div></div></div></div><h6>Figura 2.15. <span class="application">Herramienta de configuraciÃ³n de cortafuegos</span></h6></div><br class="figure-break"/><div class="note"><h2>Nota</h2><div class="para">
					La <span class="application"><strong>herramienta de configuraciÃ³n de cortafuegos</strong></span> solo configura un cortafuego bÃ¡sico. Si el sistema necesita reglas mÃ¡s complejas, vaya a la <a class="xref" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables">SecciÃ³nÂ 2.9, â€œIPTablesâ€</a> para conocer mÃ¡s detalles sobre la configuraciÃ³n de reglas especÃficas mediante la utilizaciÃ³n de <code class="command">iptables</code>.
				</div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls.html"><strong>Anterior</strong>2.8. Cortafuegos</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Basic_Firewall_Configuration-Enabling_and_Disabling_the_Firewall.html"><strong>Siguiente</strong>2.8.2.2. Habilitando y deshabilitando el cortafue...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Firewalls-Common_IPTables_Filtering.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.4. Filtrado comÃºn de IPTables</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Firewalls.html" title="2.8. Cortafuegos"/><link rel="prev" href="sect-Security_Guide-Using_IPTables-Saving_and_Restoring_IPTables_Rules.html" title="2.8.3.3. Guardando y restaurando las reglas de IPTables"/><link rel="next" href="sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html" title="2.8.5. Reglas FORWARD y NAT"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_
 right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Using_IPTables-Saving_and_Restoring_IPTables_Rules.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.8.4. Filtrado comÃºn de IPTables"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Firewalls-Common_IPTables_Filtering">2.8.4. Filtrado comÃºn de IPTables</h3></div></div></div><div class="para">
			La prevenciÃ³n del acceso a la red de atacantes remotos es uno de los aspectos mÃ¡s importantes de la seguridad de la red. La integridad de la LAN debe protegerse de los usuarios remotos maliciosos a travÃ©s del uso de las reglas estrictas de cortafuego.
		</div><div class="para">
			Sin embargo, con una polÃtica por defecto de bloquear todos los paquetes entrantes, salientes y reenviados, es imposible que los usuarios del cortafuego/puerta de enlace y los usuarios internos de la LAN puedan comunicarse entre ellos, o con recursos externos.
		</div><div class="para">
			Para permitir que los usuarios realicen funciones relacionadas con la red y de que puedan usar aplicaciones de red, los administradores deben abrir ciertos puertos para la comunicaciÃ³n.
		</div><div class="para">
			Por ejemplo, para permitir el acceso al puerto 80 <span class="emphasis"><em>en el cortafuego</em></span>, agregar la siguiente regla:
		</div><pre class="screen">[root at miServidor ~ ] # iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
</pre><div class="para">
			Esto permite a los usuarios navegar sitios que se comunican usando el puerto estÃ¡ndar 80. Para permitir el acceso a sitios web seguros (por ejemplo, https://www.ejemplo.com/), tambiÃ©n necesita proveer el acceso al puerto 443, como sigue:
		</div><pre class="screen">[root at miServidor ~ ] # iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
</pre><div class="important"><h2>Importante</h2><div class="para">
				Cuando se crea un conjunto de reglas de <code class="command">iptables</code>, el orden es importante.
			</div><div class="para">
				Si una regla especifica que cualquier paquete desde la subred 192.168.100.0/24 debe ignorarse, y esto es seguido por una regla que permite los paquetes de 192.168.100.13 (que estÃ¡ dentro de la subred ignorada), la segunda regla se ignora.
			</div><div class="para">
				La regla para permitir los paquetes de 192.168.100.13 debe estar antes de la que elimina los restantes de la subred.
			</div><div class="para">
				Para insertar una regla en una ubicaciÃ³n especÃfica en una cadena existente, use la opciÃ³n <code class="option">-I</code>. Por ejemplo:
			</div><pre class="screen">[root at miServidor ~ ] # iptables -I INPUT 1 -i lo -p all -j ACCEPT
</pre><div class="para">
				Esta regla es insertada como la primera regla en la cadena INPUT para permitir el trÃ¡fico en el dispositivo loopback local.
			</div></div><div class="para">
			Pueden suceder que en determinadas oportunidades se necesite un acceso remoto a la LAN. Los servicios seguros, por ejemplo SSH, se pueden utilizar para encriptar la conexiÃ³n remota a los servicios de la LAN.
		</div><div class="para">
			Administradores con recursos basados en PPP, o accesos de tipo dial-up (como bancos de mÃ³dems, o cuentas masivas de ISP), pueden ser utilizados para sortear con Ã©xito las barreras del cortafuegos. Debido a que son conexiones directas, las conexiones de mÃ³dems se encuentran tÃpicamente detrÃ¡s de un cortafuegos/puerta de enlace.
		</div><div class="para">
			Sin embargo, pueden hacerse excepciones para los usuarios remotos con conexiones de banda ancha. Usted puede configurar <code class="command">iptables</code> para aceptar conexiones de clientes remotos SSH. Por ejemplo, las siguientes reglas permiten acceso remoto SSH:
		</div><pre class="screen">[root at miServidor ~ ] # iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root at miServidor ~ ] # iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
</pre><div class="para">
			Estas reglas permiten ingreso y egreso para un sistema individual, como una PC directamente conectada a Internet, o a un cortafuegos/puerta de enlace. Sin embrago, no permiten a los nodos detrÃ¡s de un cortafuegos/puerta de enlace que tengan acceso a estos servicios. Para permitir acceso LAN a estos servicios, puede utilizar <em class="firstterm">Network Address Translation</em> (<acronym class="acronym">NAT</acronym>) con reglas de filtro <code class="command">iptables</code>.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Using_IPTables-Saving_and_Restoring_IPTables_Rules.html"><strong>Anterior</strong>2.8.3.3. Guardando y restaurando las reglas de IP...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html"><strong>Siguiente</strong>2.8.5. Reglas FORWARD y NAT</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.5. Reglas FORWARD y NAT</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Firewalls.html" title="2.8. Cortafuegos"/><link rel="prev" href="sect-Security_Guide-Firewalls-Common_IPTables_Filtering.html" title="2.8.4. Filtrado comÃºn de IPTables"/><link rel="next" href="sect-Security_Guide-FORWARD_and_NAT_Rules-Prerouting.html" title="2.8.5.2. Preruteo"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul cla
 ss="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-Common_IPTables_Filtering.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-FORWARD_and_NAT_Rules-Prerouting.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.8.5. Reglas FORWARD y NAT"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules">2.8.5. Reglas <code class="computeroutput">FORWARD</code> y <acronym class="acronym">NAT</acronym></h3></div></div></div><div class="para">
			La mayorÃa de los ISPs proveen sÃ³lo un nÃºmero limitado de direcciones IP disponibles pÃºblicamente para sus clientes.
		</div><div class="para">
			Los administradores deben, por lo tanto, encontrar formas alternativas de compartir el acceso a los servicios de Internet, sin darle por ello una direcciÃ³n IP pÃºblica a cada nodo de la LAN. Utilizar direcciones IP privadas es la manera mÃ¡s comÃºn de permitirle a todos los nodos de una LAN que tengan un acceso correcto, tanto interno como externo, a los servicios de red.
		</div><div class="para">
			Los enrutadores de borde (como los cortafuegos) pueden recibir transmisiones entrantes desde Internet y enrutar los paquetes hacia el nodo LAN correspondiente. Al mismo tiempo, los cortafuegos/puertas de enlace pueden enrutar peticiones salientes de un nodo de la LAN hacia el servicio de Internet remoto.
		</div><div class="para">
			Este reenvÃo de trafico de red puede convertirse algunas veces en algo peligroso, especialmente con la disponibilidad de herramientas de crackeo modernas que pueden espiar direcciones IP <span class="emphasis"><em>internas</em></span> y hacer que el el equipo del atacante remoto actÃºe como un nodo de su LAN.
		</div><div class="para">
			Para impedir esto, <code class="command">iptables</code> provee polÃticas de ruteado y reenvÃo que se pueden implementar para prevenir el uso anormal de los recursos de red.
		</div><div class="para">
			La cadena <code class="computeroutput">FORWARD</code> permite a un administrador controlar hacia dÃ³nde se pueden rutear los paquetes dentro de la LAN. Por ejemplo, para permitir el reenvÃo para toda la LAN (asumiendo que el cortafuego/puerta de enlace tiene asignado una direcciÃ³n IP interna en eth1), use las siguientes reglas:
		</div><pre class="screen">[root at miServidor ~ ] # iptables -A FORWARD -i eth1 -j ACCEPT
[root at miServidor ~ ] # iptables -A FORWARD -o eth1 -j ACCEPT
</pre><div class="para">
			Esta regla le da a los sistemas detrÃ¡s del cortafuego/puerta de enlace el acceso a la red interna. La puerta de enlace rutea los paquetes desde un nodo de la LAN a su nodo destino deseado, pasando todos los paquetes a travÃ©s del dispositivo <code class="filename">eth1</code>.
		</div><div class="note"><h2>Nota</h2><div class="para">
				Por defecto, la polÃtica IPv4 en kernels de Fedora deshabilita el soporte para reenvÃo de IP. Esto evita que mÃ¡quinas que corran Fedora funcionen como un ruteador dedicado. Para habilitar el reenvÃo de IP, use el siguiente comando:
			</div><pre class="screen">[root at miServidor ~ ] # sysctl -w net.ipv4.ip_forward=1
</pre><div class="para">
				Este cambio en la configuraciÃ³n sÃ³lo es vÃ¡lido para la sesiÃ³n actual; no persiste luego de un reinicio de equipo o del servicio de red. Para poner el reenvÃo de IP permanente, edite el archivo<code class="filename">/etc/sysctl.conf</code> como sigue:
			</div><div class="para">
				Ubique la siguiente lÃnea:
			</div><pre class="screen">net.ipv4.ip_forward = 0
</pre><div class="para">
				Y edÃtela para que se lea:
			</div><pre class="screen">net.ipv4.ip_forward = 1
</pre><div class="para">
				Use el siguiente comando para habilitar el cambio en el archivo <code class="filename">sysctl.conf</code>:
			</div><pre class="screen">[root at miServidor ~ ] # sysctl -p /etc/sysctl.conf
</pre></div><div class="section" title="2.8.5.1. Postruteado y enmascarado de IP"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-FORWARD_and_NAT_Rules-Postrouting_and_IP_Masquerading">2.8.5.1. Postruteado y enmascarado de IP</h4></div></div></div><div class="para">
				La aceptaciÃ³n de paquetes reenviados a travÃ©s de la IP interna del cortafuego le permite a los nodos de la LAN comunicarse entre si; sin embargo, todavÃa no se pueden comunicar externamente con Internet.
			</div><div class="para">
				Para permitir que los nodos de una LAN con direcciones IP privadas puedan comunicarse con redes pÃºblicas externas, configure su cortafuegos para que realice <em class="firstterm">enmascaramiento de IP</em>, que enmascara las peticiones desde los nodos LAN con la direcciÃ³n IP del cortafuegos del dispositivo externo (en este caso, eth0):
			</div><pre class="screen">[root at miServidor ~ ] # iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
</pre><div class="para">
				Esta regla usa la tabla de comparaciÃ³n de paquetes NAT (<code class="option">-t nat</code>) y especifica la cadena predefinida POSTROUTING para hacer NAT (<code class="option">-A POSTROUTING</code>) en el dispositivo externo del cortafuego (<code class="option">-o eth0</code>).
			</div><div class="para">
				POSTROUTING permite que los paquetes se puedan alterar mientras estÃ¡n abandonando el dispositivo externo del cortafuegos.
			</div><div class="para">
				El destino <code class="option">-j MASQUERADE</code> se especifica para enmascarar la direcciÃ³n IP privada de un nodo con la direcciÃ³n IP externa del cortafuego/puerta de enlace.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-Common_IPTables_Filtering.html"><strong>Anterior</strong>2.8.4. Filtrado comÃºn de IPTables</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-FORWARD_and_NAT_Rules-Prerouting.html"><strong>Siguiente</strong>2.8.5.2. Preruteo</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Firewalls-IPTables_and_Connection_Tracking.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.7. IPTables y el seguimiento de la conexiÃ³n</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Firewalls.html" title="2.8. Cortafuegos"/><link rel="prev" href="sect-Security_Guide-Firewalls-Malicious_Software_and_Spoofed_IP_Addresses.html" title="2.8.6. Software malicioso y suplantaciÃ³n de direcciones IP"/><link rel="next" href="sect-Security_Guide-Firewalls-IPv6.html" title="2.8.8. IPv6"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" a
 lt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-Malicious_Software_and_Spoofed_IP_Addresses.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-IPv6.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.8.7. IPTables y el seguimiento de la conexiÃ³n"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Firewalls-IPTables_and_Connection_Tracking">2.8.7. IPTables y el seguimiento de la conexiÃ³n</h3></div></div></div><div class="para">
			Puede inspeccionar y restringir conexiones a servicios basados en sus <em class="firstterm">estados de conexiÃ³n</em>. Un mÃ³dulo dentro de <code class="command">iptables</code> utiliza un mÃ©todo denominado <em class="firstterm">rastreo de conexiÃ³n</em> para almacenar datos acerca de las conexiones recibidas. Puede permitir o negar acceso basÃ¡ndose en los siguientes estados de conexiÃ³n:
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					<code class="option">NEW</code> â€” Un paquete que pide una nueva conexiÃ³n, tal como un pedido HTTP.
				</div></li><li class="listitem"><div class="para">
					<code class="option">ESTABLISHED</code> â€” Un paquete que es parte de una conexiÃ³n existente.
				</div></li><li class="listitem"><div class="para">
					<code class="option">RELATED</code> â€” Un paquete que estÃ¡ pidiendo una nueva conexiÃ³n, pero que es parte de una existente. Por ejemplo, FTP usa el puerto 21 para establecer una conexiÃ³n, pero los datos se transfieren en un puerto diferente (normalmente el puerto 20).
				</div></li><li class="listitem"><div class="para">
					<code class="option">INVALID</code> â€” Un paquete que no es parte de ninguna conexiÃ³n en la tabla de seguimiento de conexiones.
				</div></li></ul></div><div class="para">
			Puede utilizar toda la funcionalidad del rastreo de conexiÃ³n <code class="command">iptables</code> con cualquier protocolo, aÃºn si Ã©l mismo se encuentra inactivo (como por ejemplo un protocolo UDP). EL siguiente ejemplo le muestra una regla que utiliza rastreo de conexiÃ³n para reenviar solamente los paquetes que estÃ¡n asociados con una conexiÃ³n establecida:
		</div><pre class="screen">[root at miServidor ~ ] # iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
</pre></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-Malicious_Software_and_Spoofed_IP_Addresses.html"><strong>Anterior</strong>2.8.6. Software malicioso y suplantaciÃ³n de direc...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-IPv6.html"><strong>Siguiente</strong>2.8.8. IPv6</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Firewalls-IPv6.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.8. IPv6</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Firewalls.html" title="2.8. Cortafuegos"/><link rel="prev" href="sect-Security_Guide-Firewalls-IPTables_and_Connection_Tracking.html" title="2.8.7. IPTables y el seguimiento de la conexiÃ³n"/><link rel="next" href="sect-Security_Guide-Firewalls-Additional_Resources.html" title="2.8.9. Recursos adicionales"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></
 a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-IPTables_and_Connection_Tracking.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-Additional_Resources.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.8.8. IPv6"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Firewalls-IPv6">2.8.8. IPv6</h3></div></div></div><div class="para">
			La introducciÃ³n de la siguiente generaciÃ³n del Protocolo de Internet, llamado IPv6, expande mÃ¡s allÃ¡ de los lÃmites de las direcciones de 32-bit de IPv4 (o IP). IPv6 soporta direcciones de 128-bit, y las redes transportadoras que pueden soportar IPv6 son por lo tanto capaces de manejar un nÃºmero mÃ¡s grande de direcciones ruteables que el IPv4.
		</div><div class="para">
			Fedora supports IPv6 firewall rules using the Netfilter 6 subsystem and the <code class="command">ip6tables</code> command. In Fedora 12, both IPv4 and IPv6 services are enabled by default.
		</div><div class="para">
			La sintaxis del comando <code class="command">ip6tables</code> es idÃ©ntica a <code class="command">iptables</code> en todos los aspectos menos en que soporta direcciones de 128-bit. Por ejemplo, use el siguiente comando para habilitar conexiones SSH en un servidor de red para IPv6:
		</div><pre class="screen">[root at miServidor ~ ] # ip6tables -A INPUT -i eth0 -p tcp -s 3ffe:ffff:100::1/128 --dport 22 -j ACCEPT
</pre><div class="para">
			Para mÃ¡s informaciÃ³n acerca de redes IPv6, vaya a la PÃ¡gina de InformaciÃ³n sobre IPv6 en <a href="http://www.ipv6.org/">http://www.ipv6.org/</a>.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-IPTables_and_Connection_Tracking.html"><strong>Anterior</strong>2.8.7. IPTables y el seguimiento de la conexiÃ³n</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-Additional_Resources.html"><strong>Siguiente</strong>2.8.9. Recursos adicionales</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Firewalls-Malicious_Software_and_Spoofed_IP_Addresses.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.6. Software malicioso y suplantaciÃ³n de direcciones IP</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Firewalls.html" title="2.8. Cortafuegos"/><link rel="prev" href="sect-Security_Guide-FORWARD_and_NAT_Rules-DMZs_and_IPTables.html" title="2.8.5.3. IPTables y las ZDM"/><link rel="next" href="sect-Security_Guide-Firewalls-IPTables_and_Connection_Tracking.html" title="2.8.7. IPTables y el seguimiento de la conexiÃ³n"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Con
 tent/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-FORWARD_and_NAT_Rules-DMZs_and_IPTables.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-IPTables_and_Connection_Tracking.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.8.6. Software malicioso y suplantaciÃ³n de direcciones IP"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Firewalls-Malicious_Software_and_Spoofed_IP_Addresses">2.8.6. Software malicioso y suplantaciÃ³n de direcciones IP </h3></div></div></div><div class="para">
			Reglas mÃ¡s elaboradas pueden ser creadas para que controlen el acceso a subredes especÃficas, o incluso para nodos especÃficos, dentro de la LAN. Puede tambiÃ©n restringir ciertas aplicaciones o programas de carÃ¡cter dudoso como troyanos, gusanos, y demÃ¡s virus cliente/servidor, y evitar que entren en contacto con sus servidores.
		</div><div class="para">
			Por ejemplo, algunos troyanos examinan redes para ver los servicios en los puertos 31337 a 31340 (llamados los puertos <span class="emphasis"><em>elite</em></span> en la terminologÃa de craqueo).
		</div><div class="para">
			Dado que no hay servicios legÃtimos que se comunican vÃa estos puertos no estÃ¡ndares, su bloqueo puede disminuir efectivamente las posibilidades de que nodos infectados en su red se comuniquen con sus servidores maestros remotos.
		</div><div class="para">
			Las siguientes reglas eliminan todo el trÃ¡fico TCP que intenta usar el puerto 31337:
		</div><pre class="screen">[root at miServidor ~ ] # iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
[root at miServidor ~ ] # iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
</pre><div class="para">
			TambiÃ©n se puede bloquear conexiones salientes que intenten suplantar los rangos de direcciones IP privadas para infiltrarse en su LAN.
		</div><div class="para">
			Por ejemplo, si su red usa el rango 192.168.1.0/24, se puede diseÃ±ar una regla que instruya al dispositivo de red del lado de Internet (por ejemplo, eth0) para que descarte cualquier paquete en ese dispositivo con una direcciÃ³n en el rango IP de su red local.
		</div><div class="para">
			Dado que se recomienda rechazar paquetes reenviados como una polÃtica predeterminada, cualquier otra direcciÃ³n IP mentida al dispositivo del lado externo (eth0) se rechaza automÃ¡ticamente.
		</div><pre class="screen">[root at miServidor ~ ] # iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP
</pre><div class="note"><h2>Nota</h2><div class="para">
				Existe una distinciÃ³n entre los destinos <code class="computeroutput">DROP</code> y <code class="computeroutput">REJECT</code> cuando se trabaja con reglas <span class="emphasis"><em>agregadas</em></span>.
			</div><div class="para">
				El destino <code class="computeroutput">RECHAZAR</code> niega acceso y regresa un error de <code class="computeroutput">conexiÃ³n denegada</code> a los usuarios que intenten conectarse al servicio. El destino <code class="computeroutput">ABANDONAR</code>, como su nombre lo indica, abandona el paquete sin previo aviso.
			</div><div class="para">
				Los administradores pueden usar su propia discreciÃ³n cuando usen estos destinos. Sin embargo, para evitar la confusiÃ³n del usuario e intentos de continuar conectando, el destino <code class="computeroutput">REJECT</code> es recomendado.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-FORWARD_and_NAT_Rules-DMZs_and_IPTables.html"><strong>Anterior</strong>2.8.5.3. IPTables y las ZDM</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-IPTables_and_Connection_Tracking.html"><strong>Siguiente</strong>2.8.7. IPTables y el seguimiento de la conexiÃ³n</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Firewalls-Using_IPTables.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.3. Uso de IPTables</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Firewalls.html" title="2.8. Cortafuegos"/><link rel="prev" href="sect-Security_Guide-Basic_Firewall_Configuration-Activating_the_IPTables_Service.html" title="2.8.2.6. Activando el servicio IPTables"/><link rel="next" href="sect-Security_Guide-Using_IPTables-Basic_Firewall_Policies.html" title="2.8.3.2. PolÃticas bÃ¡sicas del cortafuego"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/i
 mage_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Basic_Firewall_Configuration-Activating_the_IPTables_Service.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Using_IPTables-Basic_Firewall_Policies.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.8.3. Uso de IPTables"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Firewalls-Using_IPTables">2.8.3. Uso de IPTables</h3></div></div></div><div class="para">
			El primer paso en el uso de <code class="command">iptables</code> es iniciar el servicio <code class="command">iptables</code>. Use el siguiente comando para iniciar el servicio <code class="command">iptables</code>:
		</div><pre class="screen">[root at miServidor ~] # service iptables start
</pre><div class="note"><h2>Nota</h2><div class="para">
				El servicio <code class="command">ip6tables</code> puede ser desactivado si usted intenta utilizar solamente el servicio <code class="command">iptables</code>. Si desactiva el servicio <code class="command">ip6tables</code>, recuerde tambiÃ©n desactivar la red IPv6. Nunca deje un dispositivo de red activo sin su correspondiente cortafuegos.
			</div></div><div class="para">
			Para forzar a <code class="command">iptables</code> para que se inicie por defecto cuando el sistema arranque, use el siguiente comando:
		</div><pre class="screen">[root at miServidor ~] # chkconfig --level 345 iptables on
</pre><div class="para">
			Esto fuerza a <code class="command">iptables</code> a que se inicie cuando el sistema arranque en los niveles de ejecuciÃ³n 3, 4 o 5.
		</div><div class="section" title="2.8.3.1. Sintaxis de comando de IPTables"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Using_IPTables-IPTables_Command_Syntax">2.8.3.1. Sintaxis de comando de IPTables</h4></div></div></div><div class="para">
				El siguiente comando <code class="command">iptables</code> ilustra la sintaxis bÃ¡sica de comandos:
			</div><pre class="screen">[root at miServidor ~ ] # iptables -A <em class="replaceable"><code><cadena></code></em> -j <em class="replaceable"><code><destino></code></em>
</pre><div class="para">
				La opciÃ³n <code class="option">-A</code> especifica que la regla se agregarÃ¡ a la <em class="firstterm"><cadena></em>. Cada cadena se compone de una o mÃ¡s <em class="firstterm">reglas</em>, por lo que se conoce tambiÃ©n como un <em class="firstterm">conjunto de reglas</em>.
			</div><div class="para">
				Las tres cadenas predefinidas son INPUT, OUTPUT, y FORWARD. Estas cadenas son permanentes y no se pueden borrar. La cadena especifica el punto en el que el paquete es manipulado.
			</div><div class="para">
				La opciÃ³n <code class="option">-j <em class="replaceable"><code><destino></code></em></code> especifica el destino de la regla; es decir, quÃ© hacer si un paquete coincide con la regla. Ejemplos de destinos predeterminados son ACCEPT, DROP, y REJECT.
			</div><div class="para">
				Vaya a la pÃ¡gina man de <code class="command">iptables</code> para mÃ¡s informaciÃ³n sobre las cadenas, opciones y destinos disponibles.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Basic_Firewall_Configuration-Activating_the_IPTables_Service.html"><strong>Anterior</strong>2.8.2.6. Activando el servicio IPTables</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Using_IPTables-Basic_Firewall_Policies.html"><strong>Siguiente</strong>2.8.3.2. PolÃticas bÃ¡sicas del cortafuego</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Firewalls.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8. Cortafuegos</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Securing_Your_Network.html" title="CapÃtulo 2. Asegurando su Red"/><link rel="prev" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Starting_and_Stopping_an_IPsec_Connection.html" title="2.7.8. Iniciar y detener una conexiÃ³n IPsec"/><link rel="next" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html" title="2.8.2. ConfiguraciÃ³n bÃ¡sica de un cortafuego"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject
 .org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Starting_and_Stopping_an_IPsec_Connection.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="section" title="2.8. Cortafuegos"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Firewalls">2.8. Cortafuegos</h2></div></div></div><div class="para">
		La seguridad de la informaciÃ³n es comÃºnmente entendida como un proceso, y no como un producto. Sin embargo, generalmente las implementaciones estÃ¡ndar de seguridad utilizan alguna forma de mecanismo especÃfico para controlar los accesos privilegiados y restringir los recursos de red a usuarios que estÃ©n debidamente autorizados para ello, y al mismo tiempo poder identificarlos y rastrearlos. Fedora incluye diferentes herramientas para ayudar a los administradores y a los ingenieros en seguridad, con los diferentes problemas que puedan surgir al controlar los accesos jerarquizados a la red.
	</div><div class="para">
		Los cortafuegos son uno de los componentes fundamentales para la implementaciÃ³n de la seguridad en una red. Diversos proveedores ofrecen herramientas para cortafuegos para todos los niveles del mercado: desde usuarios hogareÃ±os protegiendo los datos de su PC, hasta herramientas para centros de datos que permitan proteger los datos vitales de una empresa. Los cortafuegos pueden ser herramientas para un sÃ³lo equipo fÃsico, como las aplicaciones de cortafuego que ofrecen Cisco, Nokia y Sonicwall. Proveedores como Checkpoint, McAfee y Symantec tambiÃ©n han desarrollado herramientas de cortafuegos de cÃ³digo propietario, tanto para el hogar como para los segmentos comerciales del mercado.
	</div><div class="para">
		AdemÃ¡s de las diferencias entre los cortafuegos de hardware y de software, existen tambiÃ©n diferencias en la manera en que el cortafuego funciona, separando una herramienta de otra. <a class="xref" href="sect-Security_Guide-Firewalls.html#tabl-Security_Guide-Firewalls-Firewall_Types" title="Tabla 2.2. Tipos de cortafuegos">TablaÂ 2.2, â€œTipos de cortafuegosâ€</a>: detalle de tres tipos comunes de cortafuegos, y cÃ³mo funcionan cada uno de ellos:
	</div><div class="table" id="tabl-Security_Guide-Firewalls-Firewall_Types"><div class="table-contents"><table summary="Tipos de cortafuegos" border="1"><colgroup><col width="1*"/><col width="3*"/><col width="3*"/><col width="3*"/></colgroup><thead><tr><th>
						MÃ©todo
					</th><th>
						DescripciÃ³n
					</th><th>
						Ventajas
					</th><th>
						Desventajas
					</th></tr></thead><tbody><tr><td>
						NAT
					</td><td>
						<em class="firstterm">Network Address Translation</em> (NAT), coloca direcciones IP de subredes privadas, detrÃ¡s de un pequeÃ±o grupo de direcciones IP pÃºblicas, enmascarando todas las peticiones hacia un recurso, en lugar de varios. El kernel de Linux tiene una funcionalidad NAT predefinida, mediante el subsistema del kernel Netfilter.
					</td><td>
						<table border="0" summary="Simple list" class="simplelist"><tr><td>Â· Se puede configurar transparentemente para mÃ¡quinas en una LAN. </td></tr><tr><td>Â· La protecciÃ³n de muchas mÃ¡quinas y servicios detrÃ¡s de una o mÃ¡s direcciones IP externas simplifica las tareas de administraciÃ³n. </td></tr><tr><td>Â· La restricciÃ³n del acceso a usuarios dentro y fuera de la LAN se puede configurar abriendo o cerrando puertos en el cortafuego/puerta de enlace NAT. </td></tr></table>
					</td><td>
						<table border="0" summary="Simple list" class="simplelist"><tr><td>Â· No se puede prevenir la actividad maliciosa una vez que los usuarios se conecten a un servicio fuera del cortafuegos. </td></tr></table>
					</td></tr><tr><td>
						Filtros de Paquete
					</td><td>
						Un cortafuegos de filtro de paquete lee cada uno de los datos que viajan a travÃ©s de una LAN. Puede leer y procesar paquetes segÃºn la informaciÃ³n de sus encabezados, y filtrar el paquete basÃ¡ndose en un conjunto de reglas programables implementadas por el administrador del cortafuegos. El kernel de Linux tiene una funcionalidad de filtro de paquetes predefinida, mediante el subsistema del kernel Netfilter.
					</td><td>
						<table border="0" summary="Simple list" class="simplelist"><tr><td>Â· Personalizable a travÃ©s del utilitario <code class="command">iptables</code>. </td></tr><tr><td>Â· No necesita cualquier personalizaciÃ³n del lado del cliente, dado que toda la actividad de red se filtra en el nivel del ruteador en vez de a nivel de aplicaciÃ³n. </td></tr><tr><td>Â· Debido a que los paquetes no se transmiten a travÃ©s de un proxy, el rendimiento de la red es mÃ¡s rÃ¡pida debido a la conexiÃ³n directa entre el cliente y el equipo remoto. </td></tr></table>
					</td><td>
						<table border="0" summary="Simple list" class="simplelist"><tr><td>Â· No se pueden filtrar paquetes para contenidos como en los cortafuegos proxy. </td></tr><tr><td>Â· Procesa los paquetes en la capa del protocolo, pero no los puede filtrar en la capa de una aplicaciÃ³n. </td></tr><tr><td>Â· Las arquitecturas de red complejas pueden complicar el armado de las reglas de filtrado de paquetes, especialmente si se lo hace con el <em class="firstterm">enmascarado de IP</em> o con subredes locales y redes de zonas desmilitarizadas. </td></tr></table>
					</td></tr><tr><td>
						Proxy
					</td><td>
						El cortafuegos proxy filtra todas las peticiones de los clientes LAN de un determinado protocolo, o tipo, hacia una mÃ¡quina proxy, la que luego realiza esas mismas peticiones a Internet, en nombre del cliente local. Una mÃ¡quina proxy actÃºa como un bÃºfer entre usuarios remotos maliciosos y la red interna de mÃ¡quinas clientes.
					</td><td>
						<table border="0" summary="Simple list" class="simplelist"><tr><td>Â· Le da a los administradores el control sobre quÃ© aplicaciones y protocolos funcionan fuera de la LAN. </td></tr><tr><td>Â· Algunos servidores proxy, pueden hacer cache de datos accedidos frecuentemente en vez de tener que usar la conexiÃ³n a Internet para bajarlos. Esto ayuda a reducir el consumo de ancho de banda. </td></tr><tr><td>Â· Los servicios de proxy pueden ser registrados y monitoreados mÃ¡s de cerca, lo que permite un control mÃ¡s estricto sobre el uso de los recursos de la red. </td></tr></table>
					</td><td>
						<table border="0" summary="Simple list" class="simplelist"><tr><td>Â· Los proxies son a menudo especÃficos a una aplicaciÃ³n (HTTP, Telnet, etc.), o restringidos a un protocolo (la mayorÃa de los proxies funcionan sÃ³lo con servicios que usan conexiones TCP). </td></tr><tr><td>Â· Los servicios de aplicaciÃ³n no se pueden ejecutar detrÃ¡s de un proxy, por lo que sus servidores de aplicaciÃ³n deben usar una forma separada de seguridad de red. </td></tr><tr><td>Â· Los proxies se pueden volver cuellos de botellas, dado que todos los pedidos y transmisiones son pasados a travÃ©s de una fuente, en vez de hacerlo directamente desde el cliente al servicio remoto. </td></tr></table>
					</td></tr></tbody></table></div><h6>Tabla 2.2. Tipos de cortafuegos</h6></div><br class="table-break"/><div class="section" title="2.8.1. Netfilter e IPTables"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Firewalls-Netfilter_and_IPTables">2.8.1. Netfilter e IPTables</h3></div></div></div><div class="para">
			El kernel de Linux posee un poderoso subsistema de red denominado <em class="firstterm">Netfilter</em>. El subsistema Netfilter ofrece filtro total o parcial de paquetes, asÃ como servicios de enmascaramiento NAT e IP. Netfilter tambiÃ©n tiene la habilidad de <em class="firstterm">transformar</em> la informaciÃ³n de los encabezados IP para enrutamiento avanzado y administraciÃ³n del estado de la conexiÃ³n. Netfilter es controlado mediante la utilizaciÃ³n de la herramienta <code class="command">iptables</code>.
		</div><div class="section" title="2.8.1.1. IntroducciÃ³n a IPTables"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Netfilter_and_IPTables-IPTables_Overview">2.8.1.1. IntroducciÃ³n a IPTables</h4></div></div></div><div class="para">
				The power and flexibility of Netfilter is implemented using the <code class="command">iptables</code> administration tool, a command line tool similar in syntax to its predecessor, <code class="command">ipchains</code>, which Netfilter/iptables replaced in the Linux kernel 2.4 and above.
			</div><div class="para">
				<code class="command">iptables</code> uses the Netfilter subsystem to enhance network connection, inspection, and processing. <code class="command">iptables</code> features advanced logging, pre- and post-routing actions, network address translation, and port forwarding, all in one command line interface.
			</div><div class="para">
				Esta secciÃ³n ofrece una visiÃ³n general acerca de <code class="command">iptables</code>. Para obtener informaciÃ³n mÃ¡s detallada, vaya a la <a class="xref" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables">SecciÃ³nÂ 2.9, â€œIPTablesâ€</a>.
			</div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Starting_and_Stopping_an_IPsec_Connection.html"><strong>Anterior</strong>2.7.8. Iniciar y detener una conexiÃ³n IPsec</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html"><strong>Siguiente</strong>2.8.2. ConfiguraciÃ³n bÃ¡sica de un cortafuego</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-IPTables-Additional_Resources.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.6. Recursos adicionales</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables"/><link rel="prev" href="sect-Security_Guide-IPTables-IPTables_and_IPv6.html" title="2.9.5. IPTables e IPv6"/><link rel="next" href="sect-Security_Guide-Additional_Resources-Useful_IP_Tables_Websites.html" title="2.9.6.2. Sitios web Ãºtiles sobre IPTables"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/><
 /a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables-IPTables_and_IPv6.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Useful_IP_Tables_Websites.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.9.6. Recursos adicionales"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-IPTables-Additional_Resources">2.9.6. Recursos adicionales</h3></div></div></div><div class="para">
			Consulte las siguientes referencias para obtener informaciÃ³n adicional sobre el filtrado de paquetes con <code class="command">iptables</code>.
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					<a class="xref" href="sect-Security_Guide-Firewalls.html" title="2.8. Cortafuegos">SecciÃ³nÂ 2.8, â€œCortafuegosâ€</a> â€” Contiene un capÃtulo acerca del rol de los cortafuegos dentro de una estrategia de seguridad general, asÃ como las estrategias para construir las reglas del mismo.
				</div></li></ul></div><div class="section" title="2.9.6.1. DocumentaciÃ³n instalada de IPTables"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Installed_IP_Tables_Documentation">2.9.6.1. DocumentaciÃ³n instalada de IPTables</h4></div></div></div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<code class="command">man iptables</code> â€” Contiene la descripciÃ³n de <code class="command">iptables</code> asÃ como una lista comprensiva de los destinos, opciones y extensiones de comparaciÃ³n.
					</div></li></ul></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables-IPTables_and_IPv6.html"><strong>Anterior</strong>2.9.5. IPTables e IPv6</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Useful_IP_Tables_Websites.html"><strong>Siguiente</strong>2.9.6.2. Sitios web Ãºtiles sobre IPTables</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-IPTables-Command_Options_for_IPTables.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.2. Opciones de la lÃnea de comandos de IPTables</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables"/><link rel="prev" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables"/><link rel="next" href="sect-Security_Guide-Command_Options_for_IPTables-Command_Options.html" title="2.9.2.2. Opciones de comandos"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class=
 "docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Command_Options_for_IPTables-Command_Options.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.9.2. Opciones de la lÃnea de comandos de IPTables"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-IPTables-Command_Options_for_IPTables">2.9.2. Opciones de la lÃnea de comandos de IPTables</h3></div></div></div><div class="para">
			Las reglas para el filtrado de paquetes se crean usando el comando <code class="command">iptables</code>. Los aspectos siguientes del paquete son los mÃ¡s usados como criterios:
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					<span class="emphasis"><em>Tipo de Paquete</em></span> â€” Especifica el tipo de paquete que filtra el comando.
				</div></li><li class="listitem"><div class="para">
					<span class="emphasis"><em>Fuente/Destino del Paquete</em></span> â€” Especifica quÃ© paquete se filtra basado en el fuente/destino del paquete.
				</div></li><li class="listitem"><div class="para">
					<span class="emphasis"><em>Destino</em></span> â€” Especifica quÃ© acciÃ³n se toma sobre los paquetes que coinciden con el criterio de mÃ¡s arriba.
				</div></li></ul></div><div class="para">
			Para mÃ¡s informaciÃ³n acerca de opciones especÃficas acerca de estos aspectos de los paquetes, por favor vea la <a class="xref" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html" title="2.9.2.4. Opciones de coincidencia de IPTables">SecciÃ³nÂ 2.9.2.4, â€œOpciones de coincidencia de IPTablesâ€</a> y la <a class="xref" href="sect-Security_Guide-Command_Options_for_IPTables-Target_Options.html" title="2.9.2.5. Opciones de destino">SecciÃ³nÂ 2.9.2.5, â€œOpciones de destinoâ€</a>.
		</div><div class="para">
			Las opciones utilizadas con reglas especÃficas de <code class="command">iptables</code>, para que puedan ser vÃ¡lidas, deben ser agrupadas lÃ³gicamente, fundamentadas en el propÃ³sito y las condiciones de la regla en su totalidad. En el recordatorio de esta secciÃ³n se explican opciones comÃºnmente utilizadas para el comando <code class="command">iptables</code>.
		</div><div class="section" title="2.9.2.1. Estructura de las opciones de comandos de IPTables"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Command_Options_for_IPTables-Structure_of_IPTables_Command_Options">2.9.2.1. Estructura de las opciones de comandos de IPTables</h4></div></div></div><div class="para">
				Muchos comandos <code class="command">iptables</code> tienen la siguiente estructura:
			</div><pre class="screen"><code class="computeroutput"> iptables [-t <em class="replaceable"><code><nombre-de-tabla></code></em>] <em class="replaceable"><code><comando></code></em> <em class="replaceable"><code><nombre-de-cadena></code></em> \ <em class="replaceable"><code><parametro-1></code></em> <em class="replaceable"><code><opciÃ³n-1></code></em> \ <em class="replaceable"><code><parametro-n></code></em> <em class="replaceable"><code><opciÃ³n-n></code></em></code>
</pre><div class="para">
				<em class="replaceable"><code><nombre-de-tabla></code></em> â€” Especifica a quÃ© tabla se aplica la regla. Si se omite, se usa la tabla <code class="option">filter</code>.
			</div><div class="para">
				<em class="replaceable"><code><comando></code></em> â€” Especifica la acciÃ³n a realizar, tal como agregar o eliminar una regla.
			</div><div class="para">
				<em class="replaceable"><code><nombre-de-cadena></code></em> â€” Especifica la cadena a editar, crear o borrar.
			</div><div class="para">
				pares de <em class="replaceable"><code><parametro>-<opciÃ³n></code></em> â€” Los parÃ¡metros y las opciones asociadas que especifican cÃ³mo se procesa el paquete que coincide con una regla.
			</div><div class="para">
				La longitud y complejidad de un comando <code class="command">iptables</code> puede cambiar significativamente, basado en su propÃ³sito.
			</div><div class="para">
				Por ejemplo, un comando para eliminar una regla de una cadena puede ser muy corto:
			</div><div class="para">
				<code class="command">iptables -D <em class="replaceable"><code><nombre-de-cadena> <nÃºmero-de-lÃnea></code></em></code>
			</div><div class="para">
				En contraste, un comando que aÃ±ada una regla que filtre los paquetes provenientes de una subred determinada, utilizando una variedad de parÃ¡metros y opciones especÃficas, podrÃa ser bastante extenso. Cuando construya comandos <code class="command">iptables</code>, es importante recordar que algunos parÃ¡metros y opciones requieren de otros parÃ¡metros y de otras opciones para poder constituir una regla vÃ¡lida. Esto puede producir un efecto cascada, con los futuros parÃ¡metros pidiendo otros nuevos. La regla no serÃ¡ vÃ¡lida hasta que no se satisfagan cada parÃ¡metro y cada opciÃ³n que requiera otro conjunto de opciones y parÃ¡metros.
			</div><div class="para">
				Con <code class="command">iptables -h</code> se puede ver una lista comprensiva de la estructura de los comandos de <code class="command">iptables</code>.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables.html"><strong>Anterior</strong>2.9. IPTables</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Command_Options_for_IPTables-Command_Options.html"><strong>Siguiente</strong>2.9.2.2. Opciones de comandos</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-IPTables-IPTables_Control_Scripts.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.4. Programas de control de IPTables</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables"/><link rel="prev" href="sect-Security_Guide-IPTables-Saving_IPTables_Rules.html" title="2.9.3. Guardando las reglas de IPTalbes"/><link rel="next" href="sect-Security_Guide-IPTables-IPTables_and_IPv6.html" title="2.9.5. IPTables e IPv6"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p>
 <ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables-Saving_IPTables_Rules.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables-IPTables_and_IPv6.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.9.4. Programas de control de IPTables"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-IPTables-IPTables_Control_Scripts">2.9.4. Programas de control de IPTables</h3></div></div></div><div class="para">
			Hay dos mÃ©todos bÃ¡sicos de controlar <code class="command">iptables</code> en Fedora:
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					La <span class="application"><strong>Herramienta de configuraciÃ³n de cortafuegos</strong></span> (<code class="command">system-config-securitylevel</code>) â€” Una interfase grÃ¡fica para crear, activar y grabar las reglas bÃ¡sicas del cortafuego. Consulte la <a class="xref" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html" title="2.8.2. ConfiguraciÃ³n bÃ¡sica de un cortafuego">SecciÃ³nÂ 2.8.2, â€œConfiguraciÃ³n bÃ¡sica de un cortafuegoâ€</a> para mÃ¡s informaciÃ³n.
				</div></li><li class="listitem"><div class="para">
					<code class="command">/sbin/service iptables <em class="replaceable"><code><opciÃ³n></code></em></code> â€” Que se usa para manipular varias funciones de <code class="command">iptables</code> usando su script de inicio. Las siguientes opciones estÃ¡n disponibles:
				</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
							<code class="command">start</code> â€” Si el cortafuego estÃ¡ configurado (es decir, <code class="filename">/etc/sysconfig/iptables</code> existe), se detienen todos los <code class="command">iptables</code> completamente y se los vuelve a iniciar con el comando <code class="command">/sbin/iptables-restore</code>. Esta opciÃ³n funciona solamente si el mÃ³dulo de kernel <code class="command">ipchains</code> no es cargado. Para chequear si este mÃ³dulo estÃ¡ cargado, teclee el siguiente comando como root:
						</div><pre class="screen"><code class="command"> [root at miServidor ~]# lsmod | grep ipchains </code>
</pre><div class="para">
							Si este comando no muestra salida, significa que no estÃ¡ cargado. Si es necesario, use el comando <code class="command">/sbin/rmmod</code> para eliminar el mÃ³dulo.
						</div></li><li class="listitem"><div class="para">
							<code class="command">stop</code> â€” Si el cortafuego estÃ¡ ejecutÃ¡ndose, las reglas del cortafuego en la memoria son limpiadas y todos los mÃ³dulos y ayudantes de iptables son descargados.
						</div><div class="para">
							Si la directiva <code class="command">IPTABLES_SAVE_ON_STOP</code> del archivo de configuraciÃ³n <code class="filename">/etc/sysconfig/iptables-config</code> es alterada de su valor original a <code class="command">yes</code>, las reglas actuales serÃ¡n guardadas en <code class="filename">/etc/sysconfig/iptables</code> y todas las reglas existentes serÃ¡n trasladadas a <code class="filename">/etc/sysconfig/iptables.save</code>.
						</div><div class="para">
							Vea en la <a class="xref" href="sect-Security_Guide-IPTables-IPTables_Control_Scripts.html#sect-Security_Guide-IPTables_Control_Scripts-IPTables_Control_Scripts_Configuration_File" title="2.9.4.1. Archivo de ConfiguraciÃ³n de los Scripts de Control de IPTables">SecciÃ³nÂ 2.9.4.1, â€œArchivo de ConfiguraciÃ³n de los Scripts de Control de IPTablesâ€</a> mÃ¡s informaciÃ³n del archivo <code class="filename">iptables-config</code>.
						</div></li><li class="listitem"><div class="para">
							<code class="command">restart</code> â€” Si un cortafuegos estÃ¡ ejecutÃ¡ndose, sus reglas en la memoria serÃ¡n eliminadas, y el cortafuegos es iniciado nuevamente si es que estÃ¡ configurado en <code class="filename">/etc/sysconfig/iptables</code>. Esta opciÃ³n solo funciona si el mÃ³dulo <code class="command">ipchains</code> del kernel no estÃ¡ cargado.
						</div><div class="para">
							Si la directiva <code class="command">IPTABLES_SAVE_ON_RESTART</code> en el archivo de configuraciÃ³n <code class="filename">/etc/sysconfig/iptables-config</code> es alterada de su valor original a <code class="command">yes</code>, las reglas actuales serÃ¡n guardadas en <code class="filename">/etc/sysconfig/iptables</code> y cualquier otra regla existente serÃ¡ trasladada a <code class="filename">/etc/sysconfig/iptables.save</code>.
						</div><div class="para">
							Vea en la <a class="xref" href="sect-Security_Guide-IPTables-IPTables_Control_Scripts.html#sect-Security_Guide-IPTables_Control_Scripts-IPTables_Control_Scripts_Configuration_File" title="2.9.4.1. Archivo de ConfiguraciÃ³n de los Scripts de Control de IPTables">SecciÃ³nÂ 2.9.4.1, â€œArchivo de ConfiguraciÃ³n de los Scripts de Control de IPTablesâ€</a> mÃ¡s informaciÃ³n del archivo <code class="filename">iptables-config</code>.
						</div></li><li class="listitem"><div class="para">
							<code class="command">status</code> â€” Muestra el estado del cortafuego y lista todas las reglas activas
						</div><div class="para">
							La configuraciÃ³n establecida por defecto para esta opciÃ³n muestra direcciones IP en cada regla. Para mostrar dominios y nombres de equipos, edite el archivo <code class="filename">/etc/sysconfig/iptables-config</code> y cambie el valor de <code class="command">IPTABLES_STATUS_NUMERIC</code> a <code class="command">no</code>. Para obtener mÃ¡s informaciÃ³n acerca del archivo <code class="filename">iptables-config</code>, consulte la <a class="xref" href="sect-Security_Guide-IPTables-IPTables_Control_Scripts.html#sect-Security_Guide-IPTables_Control_Scripts-IPTables_Control_Scripts_Configuration_File" title="2.9.4.1. Archivo de ConfiguraciÃ³n de los Scripts de Control de IPTables">SecciÃ³nÂ 2.9.4.1, â€œArchivo de ConfiguraciÃ³n de los Scripts de Control de IPTablesâ€</a>.
						</div></li><li class="listitem"><div class="para">
							<code class="command">panic</code> â€” Limpia todas las reglas del cortafuego. Se configura como polÃtica para todas las tablas a <code class="command">DROP</code>.
						</div><div class="para">
							Esta opciÃ³n puede ser Ãºtil si se sabe que un servidor estÃ¡ comprometido. En vez de desconectarlo fÃsicamente de la red o apagarlo, puede usar esta opciÃ³n para detener todo trÃ¡fico posterior, pero dejando a la computadora lista para un anÃ¡lisis forense.
						</div></li><li class="listitem"><div class="para">
							<code class="command">save</code> â€” Guarda las reglas del cortafuego en <code class="filename">/etc/sysconfig/iptables</code> usando <code class="command">iptables-save</code>. Vea en la <a class="xref" href="sect-Security_Guide-IPTables-Saving_IPTables_Rules.html" title="2.9.3. Guardando las reglas de IPTalbes">SecciÃ³nÂ 2.9.3, â€œGuardando las reglas de IPTalbesâ€</a> mÃ¡s informaciÃ³n.
						</div></li></ul></div></li></ul></div><div class="note"><h2>Nota</h2><div class="para">
				Para utilizar los mismos comandos del programa init para controlar a netfilter para IPv6, sustituya <code class="command">ip6tables</code> por <code class="command">iptables</code> en los comandos <code class="command">/sbin/service</code> listados en esta secciÃ³n. Para obtener mayor informaciÃ³n acerca de IPv6 o netfilter, vea <a class="xref" href="sect-Security_Guide-IPTables-IPTables_and_IPv6.html" title="2.9.5. IPTables e IPv6">SecciÃ³nÂ 2.9.5, â€œIPTables e IPv6â€</a>.
			</div></div><div class="section" title="2.9.4.1. Archivo de ConfiguraciÃ³n de los Scripts de Control de IPTables"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-IPTables_Control_Scripts-IPTables_Control_Scripts_Configuration_File">2.9.4.1. Archivo de ConfiguraciÃ³n de los Scripts de Control de IPTables</h4></div></div></div><div class="para">
				El comportamiento de los scripts de inicio de <code class="command">iptables</code> se controlan por el archivo de configuraciÃ³n <code class="filename">/etc/sysconfig/iptables-config</code>. La siguiente es una lista de las directivas contenidas en este archivo:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<code class="command">IPTABLES_MODULES</code> â€” Especifica una lista separada por comas de los mÃ³dulos <code class="command">iptables</code> adicionales a cargar cuando se active el cortafuego. Estos pueden incluir el rastreo de conexiÃ³n y ayudantes NAT.
					</div></li><li class="listitem"><div class="para">
						<code class="command">IPTABLES_MODULES_UNLOAD</code> â€” Descarga los mÃ³dulos al reiniciar y detener. Esta directiva acepta los siguientes valores:
					</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
								<code class="command">yes</code> â€” El valor por defecto. Esta opciÃ³n debe ser puesta para conseguir un estado correcto de un reinicio o detenida de un cortafuego.
							</div></li><li class="listitem"><div class="para">
								<code class="command">no</code> â€” Esta opciÃ³n debe ser puesta sÃ³lo si hay problemas al descargar los mÃ³dulos de netfilter.
							</div></li></ul></div></li><li class="listitem"><div class="para">
						<code class="command">IPTABLES_SAVE_ON_STOP</code> â€” Guarda las reglas actuales en <code class="filename">/etc/sysconfig/iptables</code> cuando el cortafuego es detenido. Esta directiva acepta los siguientes valores:
					</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
								<code class="command">yes</code> â€” Guarda las reglas existentes en <code class="filename">/etc/sysconfig/iptables</code> cuando se detiene el cortafuego, moviendo la versiÃ³n previa al archivo <code class="filename">/etc/sysconfig/iptables.save</code>.
							</div></li><li class="listitem"><div class="para">
								<code class="command">no</code> â€” El valor por defecto. No guarda las reglas existentes cuando el cortafuego es detenido.
							</div></li></ul></div></li><li class="listitem"><div class="para">
						<code class="command">IPTABLES_SAVE_ON_RESTART</code> â€” Guarda las reglas actuales del cortafuego cuando es reiniciado. Esta directiva acepta los siguientes valores:
					</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
								<code class="command">yes</code> â€” Guarda las reglas existentes en <code class="filename">/etc/sysconfig/iptables</code> cuando el cortafuego es reiniciado, moviendo la versiÃ³n previa al archivo <code class="filename">/etc/sysconfig/iptables.save</code>.
							</div></li><li class="listitem"><div class="para">
								<code class="command">no</code> â€” El valor predeterminado. No guarda las reglas existentes cuando se reinicia el cortafuego.
							</div></li></ul></div></li><li class="listitem"><div class="para">
						<code class="command">IPTABLES_SAVE_COUNTER</code> â€” Guarda y restaura todos los contadores de paquetes y de bytes en todas las cadenas y reglas. Esta directiva acepta los siguientes valores:
					</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
								<code class="command">yes</code> â€” Guarda los valores de los contadores.
							</div></li><li class="listitem"><div class="para">
								<code class="command">no</code> â€” El valor predeterminado. No guarda los valores de los contadores.
							</div></li></ul></div></li><li class="listitem"><div class="para">
						<code class="command">IPTABLES_STATUS_NUMERIC</code> â€” Muestra las direcciones IP en formato numÃ©rico en vez de dominios y nombres de equipo. Esta directiva acepta los siguientes valores:
					</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
								<code class="command">yes</code> â€” El valor predeterminado. Solo devuelve la direcciÃ³n IP dentro de una salida de estado.
							</div></li><li class="listitem"><div class="para">
								<code class="command">no</code> â€” Devuelve el dominio o nombres de equipos en una salida de estado.
							</div></li></ul></div></li></ul></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables-Saving_IPTables_Rules.html"><strong>Anterior</strong>2.9.3. Guardando las reglas de IPTalbes</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables-IPTables_and_IPv6.html"><strong>Siguiente</strong>2.9.5. IPTables e IPv6</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-IPTables-IPTables_and_IPv6.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.5. IPTables e IPv6</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables"/><link rel="prev" href="sect-Security_Guide-IPTables-IPTables_Control_Scripts.html" title="2.9.4. Programas de control de IPTables"/><link rel="next" href="sect-Security_Guide-IPTables-Additional_Resources.html" title="2.9.6. Recursos adicionales"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul cl
 ass="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables-IPTables_Control_Scripts.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables-Additional_Resources.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.9.5. IPTables e IPv6"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-IPTables-IPTables_and_IPv6">2.9.5. IPTables e IPv6</h3></div></div></div><div class="para">
			Si se instala el paquete <code class="filename">iptables-ipv6</code>, netfilter en Fedora puede filtrar la siguiente generaciÃ³n del protocolo de Internet IPv6. El comando usado para manipular el netfilter de IPv6 es <code class="command">ip6tables</code>.
		</div><div class="para">
			La mayorÃa de las directivas para este comando son idÃ©nticas a aquellas utilizadas para <code class="command">iptables</code>, excepto que la tabla <code class="command">nat</code> no es aÃºn soportada. Esto significa que aÃºn no es posible realizar tareas de traslados sobre direcciones de redes IPv6, como ser, por ejemplo, enmascaramiento y reenvÃo de puertos.
		</div><div class="para">
			Las reglas de <code class="command">ip6tables</code> se guardan en el archivo <code class="filename">/etc/sysconfig/ip6tables</code>. Las reglas previas guardadas antes por los scripts de inicio de <code class="command">ip6tables</code> se guardan en el archivo <code class="filename">/etc/sysconfig/ip6tables.save</code>.
		</div><div class="para">
			Las opciones de configuraciÃ³n para el programa init <code class="command">ip6tables</code> son almacenadas en <code class="filename">/etc/sysconfig/ip6tables-config</code>, y los nombres para cada directiva varÃan significativamente de los correspondientes en <code class="command">iptables</code>.
		</div><div class="para">
			Por ejemplo, la directiva <code class="command">IPTABLES_MODULES</code> de <code class="filename">iptables-config</code>: el equivalente en el archivo <code class="filename">ip6tables-config</code> es <code class="command">IP6TABLES_MODULES</code>.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables-IPTables_Control_Scripts.html"><strong>Anterior</strong>2.9.4. Programas de control de IPTables</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables-Additional_Resources.html"><strong>Siguiente</strong>2.9.6. Recursos adicionales</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-IPTables-Saving_IPTables_Rules.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.3. Guardando las reglas de IPTalbes</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables"/><link rel="prev" href="sect-Security_Guide-Command_Options_for_IPTables-Listing_Options.html" title="2.9.2.6. Opciones de listado"/><link rel="next" href="sect-Security_Guide-IPTables-IPTables_Control_Scripts.html" title="2.9.4. Programas de control de IPTables"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Do
 cumentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Command_Options_for_IPTables-Listing_Options.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables-IPTables_Control_Scripts.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.9.3. Guardando las reglas de IPTalbes"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-IPTables-Saving_IPTables_Rules">2.9.3. Guardando las reglas de IPTalbes</h3></div></div></div><div class="para">
			Las reglas creadas con el comando <code class="command">iptables</code> son almacenadas en la memoria. Si el sistema es reiniciado antes de guardar el conjunto de reglas de <code class="command">iptables</code>, estas reglas se perderÃ¡n. Para que las reglas de netfilter sigan vigentes luego de reiniciar el sistema, necesitan ser guardadas. Para salvar reglas de netfilter, ingrese el siguiente comando como usuario root:
		</div><pre class="screen"><code class="command"> /sbin/service iptables save </code>
</pre><div class="para">
			Esto ejecuta el programa init de <code class="command">iptables</code>, que a su vez ejecuta el programa <code class="command">/sbin/iptables-save</code> y escribe la configuraciÃ³n actual de <code class="command">iptables</code> a <code class="filename">/etc/sysconfig/iptables</code>. El archivo existente <code class="filename">/etc/sysconfig/iptables</code> es guardado como <code class="filename">/etc/sysconfig/iptables.save</code>.
		</div><div class="para">
			La prÃ³xima vez que el sistema se reinicie, el programa init de <code class="command">iptables</code> aplica nuevamente las reglas guardadas en <code class="filename">/etc/sysconfig/iptables</code> utilizando el comando <code class="command">/sbin/iptables-restore</code>.
		</div><div class="para">
			Si bien siempre es una buena idea probar una nueva regla <code class="command">iptables</code> antes de incluirla en el archivo <code class="filename">/etc/sysconfig/iptables</code>, es posible copiar reglas <code class="command">iptables</code> a este archivo desde una versiÃ³n diferente del mismo archivo. Esto permite una rÃ¡pida distribuciÃ³n de los conjuntos de reglas <code class="command">iptables</code> en diversas mÃ¡quinas.
		</div><div class="para">
			TambiÃ©n puede grabar las reglas de iptables a un archivo separado para distribuir, respaldar u otros propÃ³sitos. Para guardar sus reglas de iptables, ingrese el siguiente comando como root:
		</div><pre class="screen"><code class="command"> [root at miServidor ~]# iptables-save > <em class="replaceable"><code><nombredearchivo></code></em></code> donde <em class="replaceable"><code><nombredearchivo></code></em> es un nombre dado por el usuario para el conjunto de reglas.
</pre><div class="important"><h2>Importante</h2><div class="para">
				Si va a distribuir el archivo <code class="filename">/etc/sysconfig/iptables</code> a otras mÃ¡quinas, debe teclear <code class="command">/sbin/service iptables restart</code> para que las nuevas reglas tengan efecto.
			</div></div><div class="note"><h2>Nota</h2><div class="para">
				FÃjese la diferencia entre el <span class="emphasis"><em>comando</em></span> <code class="command">iptables</code> (<code class="command">/sbin/iptables</code>), que es utilizado para manipular las tablas y cadenas que constituyen las funcionalidades de <code class="command">iptables</code>, y el <span class="emphasis"><em>servicio</em></span> <code class="command">iptables</code> (<code class="command">/sbin/iptables service</code>), que es utilizado para activar y desactivar el servicio de <code class="command">iptables</code> en sÃ.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Command_Options_for_IPTables-Listing_Options.html"><strong>Anterior</strong>2.9.2.6. Opciones de listado</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables-IPTables_Control_Scripts.html"><strong>Siguiente</strong>2.9.4. Programas de control de IPTables</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-IPTables.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9. IPTables</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Securing_Your_Network.html" title="CapÃtulo 2. Asegurando su Red"/><link rel="prev" href="sect-Security_Guide-Additional_Resources-Related_Documentation.html" title="2.8.9.3. DocumentaciÃ³n relacionada"/><link rel="next" href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html" title="2.9.2. Opciones de la lÃnea de comandos de IPTables"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/image
 s/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Related_Documentation.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="section" title="2.9. IPTables"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-IPTables">2.9. IPTables</h2></div></div></div><div class="para">
		Con Fedora estÃ¡n incluidas herramientas avanzadas para el <em class="firstterm">filtrado de paquetes</em> â€” el proceso dentro de kernel que permite controlar a los paquetes de red mientras estÃ¡n ingresando a nuestro entorno, mientras lo estÃ¡n recorriendo y cuando lo abandonan. Las versiones del kernel anteriores a la 2.4, dependÃan de <code class="command">ipchains</code> para el filtrado de paquetes, y utilizaban listas de reglas aplicadas a los paquetes en cada paso del proceso de filtrado. El kernel 2.4 introdujo la utilizaciÃ³n de <code class="command">iptables</code> (tambiÃ©n llamado <em class="firstterm">netfilter</em>), que si bien es similar a <code class="command">ipchains</code>, expande enormemente el rango y la posibilidad de control disponible para filtrar los paquetes de red.
	</div><div class="para">
		This chapter focuses on packet filtering basics, explains various options available with <code class="command">iptables</code> commands, and explains how filtering rules can be preserved between system reboots.
	</div><div class="para">
		Vaya a la <a class="xref" href="sect-Security_Guide-IPTables-Additional_Resources.html" title="2.9.6. Recursos adicionales">SecciÃ³nÂ 2.9.6, â€œRecursos adicionalesâ€</a> para instrucciones sobre cÃ³mo construir reglas de <code class="command">iptables</code> y configurar un cortafuego para que las use.
	</div><div class="important"><h2>Importante</h2><div class="para">
			El mecanismo de un cortafuegos establecido por defecto con un kernel 2.4 o superior es <code class="command">iptables</code>, pero <code class="command">iptables</code> no puede ser utilizado si <code class="command">ipchains</code> se encuentra en ejecuciÃ³n. Si <code class="command">ipchains</code> estÃ¡ presente en el momento del arranque, el kernel envÃa un mensaje de error y no puede iniciar <code class="command">iptables</code>.
		</div><div class="para">
			La funcionalidad de <code class="command">ipchains</code> no es afectada por estos errores.
		</div></div><div class="section" title="2.9.1. Filtrado de Paquete"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-IPTables-Packet_Filtering">2.9.1. Filtrado de Paquete</h3></div></div></div><div class="para">
			El kernel de Linux utiliza la herramienta <span class="application"><strong>Netfilter</strong></span> para filtrar los paquetes, permitiendo que alguno de ellos sean recibidos por el sistema (o que pasen a travÃ©s de Ã©l), y evitando que lo hagan otros. Esta herramienta estÃ¡ predefinida en el kernel, y posee tres <em class="firstterm">tablas</em> o <em class="firstterm">listas de reglas</em> predeterminadas de la forma siguiente:
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					<code class="option">filter</code> â€” La tabla predeterminada para el manejo de paquetes de red.
				</div></li><li class="listitem"><div class="para">
					<code class="option">nat</code> â€” Se usa para alterar paquetes que crean una nueva conexiÃ³n y para <em class="firstterm">Network Address Translation</em> (<em class="firstterm">NAT</em>).
				</div></li><li class="listitem"><div class="para">
					<code class="option">mangle</code> â€” Usada para tipos especÃficos de alteraciones de paquetes.
				</div></li></ul></div><div class="para">
			Cada tabla tiene un grupo de <em class="firstterm">cadenas</em> predefinidas, que corresponden a las acciones realizadas por <code class="command">netfilter</code> sobre el paquete.
		</div><div class="para">
			Las cadenas predefinidas para la tabla <code class="option">filter</code> son las siguientes:
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					<em class="firstterm">INPUT</em> â€” Se aplica a paquetes de red que son destinados a este equipo.
				</div></li><li class="listitem"><div class="para">
					<em class="firstterm">OUTPUT</em> â€” Se aplica a paquetes de red generados localmente.
				</div></li><li class="listitem"><div class="para">
					<em class="firstterm">FORWARD</em> â€” Se aplica a paquetes de la red ruteados a travÃ©s de este equipo.
				</div></li></ul></div><div class="para">
			Las cadenas predeterminadas para la tabla <code class="option">nat</code> son las siguientes:
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					<em class="firstterm">PREROUTING</em> â€” Altera los paquetes de la red cuando llegan.
				</div></li><li class="listitem"><div class="para">
					<em class="firstterm">OUTPUT</em> â€” Altera los paquetes de la red generados localmente antes de que se envÃen.
				</div></li><li class="listitem"><div class="para">
					<em class="firstterm">POSTROUTING</em> â€” Altera los paquetes de la red antes de ser enviados.
				</div></li></ul></div><div class="para">
			Las cadenas predeterminadas para la tabla <code class="option">mangle</code> son:
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					<em class="firstterm">INPUT</em> â€” Altera los paquetes de red destinados a este equipo.
				</div></li><li class="listitem"><div class="para">
					<em class="firstterm">OUTPUT</em> â€” Altera los paquetes de la red generados localmente antes de que se envÃen.
				</div></li><li class="listitem"><div class="para">
					<em class="firstterm">FORWARD</em> â€” Altera los paquetes de red ruteados a travÃ©s de este equipo.
				</div></li><li class="listitem"><div class="para">
					<em class="firstterm">PREROUTING</em> â€” Altera los paquetes que vienen de la red antes de ser ruteados.
				</div></li><li class="listitem"><div class="para">
					<em class="firstterm">POSTROUTING</em> â€” Altera los paquetes de la red antes de ser enviados.
				</div></li></ul></div><div class="para">
			Cada paquete de red recibido por, o enviado con un sistema Linux es sujeto de (o por) al menos una tabla. Sin embargo, un paquete puede ser sujeto por varias reglas pertenecientes a cada tabla, antes de poder emerger al final de la cadena. La estructura y el propÃ³sito de estas reglas pueden variar, pero por lo general lo que buscan es un paquete yendo o viniendo desde una direcciÃ³n IP determinada (o conjunto de direcciones), cada vez que se utilice un protocolo y un servicio de red determinados.
		</div><div class="note"><h2>Nota</h2><div class="para">
				Por defecto, las reglas del cortafuego se graban en los archivos <code class="filename">/etc/sysconfig/iptables</code> o <code class="filename">/etc/sysconfig/ip6tables</code>.
			</div><div class="para">
				El servicio <code class="command">iptables</code> se activa antes que cualquier otro servicio relacionado con DNS, cuando el sistema Linux es iniciado. Esto significa que las reglas de cortafuegos pueden sÃ³lo hacer referencia a direcciones IP numÃ©ricas (como por ejemplo, 192.168.0.1). En este tipo de reglas, los nombres del dominio (por ejemplo, host.example.com) producen errores.
			</div></div><div class="para">
			Dejando de lado el destino que tengan, cuando los paquetes se corresponden con una regla en particular de una de estas tablas, una <em class="firstterm">acciÃ³n</em> es aplicada a ellos. Si la regla especifica una acciÃ³n <code class="command">ACCEPT</code> para un paquete que se corresponde con ella, ese paquete se saltea el resto de la regla y le es permitido continuar hacia su destino, cualquiera que este sea. Si una regla especifica una acciÃ³n <code class="command">DROP</code>, a ese paquete se le niega acceso al sistema y nada es devuelto al equipo que lo enviÃ³. Si una regla especifica la acciÃ³n <code class="command">QUEUE</code>, el paquete es colocado en un espacio de usuario. Si una regla especifica la acciÃ³n optativa <code class="command">REJECT</code>, el paquete es abandonado, pero un paquete de error es a la vez enviado a quien lo originÃ³.
		</div><div class="para">
			Cada cadena posee una polÃtica por defecto para las acciones de <code class="command">ACCEPT</code>, <code class="command">DROP</code>, <code class="command">REJECT</code>, o <code class="command">QUEUE</code>. Si ninguna de estas reglas en la cadena se aplica al paquete, entonces el paquete es tratado de acuerdo a la polÃtica establecida por defecto.
		</div><div class="para">
			El comando <code class="command">iptables</code> configura estas tablas, asÃ como crea algunas nuevas si es necesario.
		</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Related_Documentation.html"><strong>Anterior</strong>2.8.9.3. DocumentaciÃ³n relacionada</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html"><strong>Siguiente</strong>2.9.2. Opciones de la lÃnea de comandos de IPTabl...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-IPTables_Match_Options-Additional_Match_Option_Modules.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.2.4.4. MÃ³dulos adicionales para opciones de coincidencia</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html" title="2.9.2.4. Opciones de coincidencia de IPTables"/><link rel="prev" href="sect-Security_Guide-IPTables_Match_Options-ICMP_Protocol.html" title="2.9.2.4.3. Protocolo ICMP"/><link rel="next" href="sect-Security_Guide-Command_Options_for_IPTables-Target_Options.html" title="2.9.2.5. Opciones de destino"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="ht
 tp://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables_Match_Options-ICMP_Protocol.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Command_Options_for_IPTables-Target_Options.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.9.2.4.4. MÃ³dulos adicionales para opciones de coincidencia"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-IPTables_Match_Options-Additional_Match_Option_Modules">2.9.2.4.4. MÃ³dulos adicionales para opciones de coincidencia</h5></div></div></div><div class="para">
					Opciones de coincidencias adicionales estÃ¡n disponibles a travÃ©s de los mÃ³dulos cargados por el comando <code class="command">iptables</code>.
				</div><div class="para">
					Para usar un mÃ³dulo de comparaciÃ³n, cargue el mÃ³dulo por su nombre con <code class="option">-m <em class="replaceable"><code><nombre-de-mÃ³dulo></code></em></code>, donde <em class="replaceable"><code><nombre-de-mÃ³dulo></code></em> es el nombre del mÃ³dulo.
				</div><div class="para">
					Por defecto hay disponibles muchos mÃ³dulos. TambiÃ©n puede crear mÃ³dulos para proveer funcionalidad adicional.
				</div><div class="para">
					La siguiente es una lista parcial de los mÃ³dulos mÃ¡s comÃºnmente usados:
				</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
							MÃ³dulo <code class="option">limit</code> â€” Pone lÃmites sobre cuÃ¡ntos paquetes se toman para una regla particular.
						</div><div class="para">
							Cuando se usa junto con el destino <code class="command">LOG</code>, el mÃ³dulo <code class="option">limit</code> puede prevenir una inundaciÃ³n de paquetes coincidentes que pudieran sobrecargar al sistema de log con mensajes repetitivos o acabar los recursos del sistema.
						</div><div class="para">
							Vaya a la <a class="xref" href="sect-Security_Guide-Command_Options_for_IPTables-Target_Options.html" title="2.9.2.5. Opciones de destino">SecciÃ³nÂ 2.9.2.5, â€œOpciones de destinoâ€</a> para mÃ¡s informaciÃ³n sobre el destino <code class="command">LOG</code>.
						</div><div class="para">
							El mÃ³dulo <code class="option">limit</code> habilita las siguientes opciones:
						</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
									<code class="option">--limit</code> â€” Establece la cantidad mÃ¡xima posible de correspondencias en un perÃodo de tiempo determinado, especificado como un par <code class="option"><em class="replaceable"><code><value>/<period></code></em></code>. Por ejemplo, utilizar <code class="option">--limit 5/hour</code> permite 5 correspondencias con la regla a cada hora.
								</div><div class="para">
									Los perÃodos se pueden especificar en segundos, minutos, horas o dÃas.
								</div><div class="para">
									Si no se utiliza un nÃºmero o modificador de tiempo, se asume el valor predeterminado de <code class="option">3/hora</code>.
								</div></li><li class="listitem"><div class="para">
									<code class="option">--limit-burst</code> â€” Pone un lÃmite en el nÃºmero de paquetes que pueden coincidir con la regla en cada momento.
								</div><div class="para">
									Esta opciÃ³n se especifica como un entero y no se debe usar junto con la opciÃ³n <code class="option">--limit</code>.
								</div><div class="para">
									Si no se especifica un valor, el valor predeterminado cinco (5) es asumido.
								</div></li></ul></div></li><li class="listitem"><div class="para">
							MÃ³dulo <code class="option">state</code> â€” Habilita el chequeo del estado.
						</div><div class="para">
							El mÃ³dulo <code class="option">state</code> habilita las siguientes opciones:
						</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
									<code class="option">--state</code> â€” chequea a un paquete con los siguientes estados de conexiÃ³n:
								</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
											<code class="option">ESTABLISHED</code> â€” El paquete estÃ¡ asociado a otros paquetes en una conexiÃ³n establecida. Necesita aceptar este estado si quiere mantener una conexiÃ³n entre un cliente y un servidor.
										</div></li><li class="listitem"><div class="para">
											<code class="option">INVALID</code> â€” El paquete es chequeado no estÃ¡ asociado a una conexiÃ³n conocida.
										</div></li><li class="listitem"><div class="para">
											<code class="option">NEW</code> â€” El paquete chequeado es para crear una conexiÃ³n nueva o es parte de una conexiÃ³n de doble vÃa que no fue vista previamente. Necesita aceptar este estado si quiere permitir conexiones nuevas a un servicio.
										</div></li><li class="listitem"><div class="para">
											<code class="option">RELATED</code> â€” El paquete coincidente estÃ¡ iniciando una conexiÃ³n relacionada de alguna manera a otra existente. Un ejemplo de esto es FTP, que usa una conexiÃ³n para el control del trÃ¡fico (puerto 21) y una conexiÃ³n separada para la transferencia de datos (puerto 20).
										</div></li></ul></div><div class="para">
									Estos estados de conexiÃ³n pueden ser utilizados combinados con otros, si se los separa con comas, como por ejemplo <code class="option">-m state --state INVALID,NEW</code>.
								</div></li></ul></div></li><li class="listitem"><div class="para">
							MÃ³dulo <code class="option">mac</code> â€” Habilita el chequeo de la direcciÃ³n MAC de hardware.
						</div><div class="para">
							El mÃ³dulo <code class="option">mac</code> habilita la siguiente opciÃ³n:
						</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
									<code class="option">--mac-source</code> â€” Hace corresponder una direcciÃ³n MAC de la tarjeta de interfaz de red que haya enviado el paquete. Para excluir una direcciÃ³n MAC de la regla, coloque un signo de admiraciÃ³n (<code class="option">!</code>) luego de la opciÃ³n de correspondencia <code class="option">--mac-source</code>.
								</div></li></ul></div></li></ul></div><div class="para">
					Vea en la pÃ¡gina man de <code class="command">iptables</code> para mÃ¡s opciones de comparaciÃ³n disponibles a travÃ©s de mÃ³dulos.
				</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables_Match_Options-ICMP_Protocol.html"><strong>Anterior</strong>2.9.2.4.3. Protocolo ICMP</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Command_Options_for_IPTables-Target_Options.html"><strong>Siguiente</strong>2.9.2.5. Opciones de destino</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-IPTables_Match_Options-ICMP_Protocol.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.2.4.3. Protocolo ICMP</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html" title="2.9.2.4. Opciones de coincidencia de IPTables"/><link rel="prev" href="sect-Security_Guide-IPTables_Match_Options-UDP_Protocol.html" title="2.9.2.4.2. Protocolo UDP"/><link rel="next" href="sect-Security_Guide-IPTables_Match_Options-Additional_Match_Option_Modules.html" title="2.9.2.4.4. MÃ³dulos adicionales para opciones de coincidencia"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" hr
 ef="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables_Match_Options-UDP_Protocol.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables_Match_Options-Additional_Match_Option_Modules.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.9.2.4.3. Protocolo ICMP"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-IPTables_Match_Options-ICMP_Protocol">2.9.2.4.3. Protocolo ICMP</h5></div></div></div><div class="para">
					Las siguientes opciones de coincidencias estÃ¡n disponibles en el Protocolo de Mensajes de Control de Internet (ICMP) (<code class="option">-p icmp</code>):
				</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
							<code class="option">--icmp-type</code> â€” Establece el nombre y nÃºmero del tipo de ICMP a corresponderse con la regla. Puede obtenerse una lista de nombres ICMP vÃ¡lidos al ingresar el comando <code class="command">iptables -p icmp -h</code>.
						</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables_Match_Options-UDP_Protocol.html"><strong>Anterior</strong>2.9.2.4.2. Protocolo UDP</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables_Match_Options-Additional_Match_Option_Modules.html"><strong>Siguiente</strong>2.9.2.4.4. MÃ³dulos adicionales para opciones de c...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-IPTables_Match_Options-UDP_Protocol.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.2.4.2. Protocolo UDP</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html" title="2.9.2.4. Opciones de coincidencia de IPTables"/><link rel="prev" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html" title="2.9.2.4. Opciones de coincidencia de IPTables"/><link rel="next" href="sect-Security_Guide-IPTables_Match_Options-ICMP_Protocol.html" title="2.9.2.4.3. Protocolo ICMP"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fe
 doraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables_Match_Options-ICMP_Protocol.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.9.2.4.2. Protocolo UDP"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-IPTables_Match_Options-UDP_Protocol">2.9.2.4.2. Protocolo UDP</h5></div></div></div><div class="para">
					Estas opciones de coincidencias estÃ¡n disponibles para el protocolo UDP (<code class="option">-p udp</code>):
				</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
							<code class="option">--dport</code> â€” Especifica el puerto de destino del paquete UDP, utilizando el nombre del servicio, el nÃºmero de puerto, o rango de nÃºmeros de puerto. La opciÃ³n de correspondencia <code class="option">--destination-port</code> es equivalente.
						</div></li><li class="listitem"><div class="para">
							<code class="option">--sport</code> â€” Especifica el puerto de origen del paquete UDP, utilizando el nombre del servicio, el nÃºmero de puerto, o rango de nÃºmeros de puertos. La opciÃ³n de correspondencia <code class="option">--source-port</code> es equivalente.
						</div></li></ul></div><div class="para">
					Con las opciones <code class="option">--dport</code> y <code class="option">--sport</code>, para especificar un rango vÃ¡lido de puertos, separe ambos nÃºmeros del rango con dos puntos (:). Por ejemplo: <code class="option">-p tcp --dport 3000:3200</code>. El rango vÃ¡lido mÃ¡s extenso que puede aceptarse es 0:65535.
				</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html"><strong>Anterior</strong>2.9.2.4. Opciones de coincidencia de IPTables</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables_Match_Options-ICMP_Protocol.html"><strong>Siguiente</strong>2.9.2.4.3. Protocolo ICMP</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-IPsec_Host_to_Host_Configuration-Manual_IPsec_Host_to_Host_Configuration.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.7.6.2. ConfiguraciÃ³n manual de una conexiÃ³n IPsec de tipo equipo-a-equipo</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html" title="2.7.6. ConfiguraciÃ³n de IPsec equipo-a-equipo"/><link rel="prev" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html" title="2.7.6. ConfiguraciÃ³n de IPsec equipo-a-equipo"/><link rel="next" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html" title="2.7.7. ConfiguraciÃ³n IPsec red-a-red"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedorap
 roject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.7.6.2. ConfiguraciÃ³n manual de una conexiÃ³n IPsec de tipo equipo-a-equipo"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-IPsec_Host_to_Host_Configuration-Manual_IPsec_Host_to_Host_Configuration">2.7.6.2. ConfiguraciÃ³n manual de una conexiÃ³n <abbr class="abbrev">IPsec</abbr> de tipo equipo-a-equipo</h4></div></div></div><div class="para">
				El primer paso para crear una conexiÃ³n es obtener informaciÃ³n tanto del sistema como de la red para cada estaciÃ³n de trabajo. Para una conexiÃ³n de tipo equipo-a-equipo, se necesita lo siguiente:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						La direcciÃ³n IP de cada equipo
					</div></li><li class="listitem"><div class="para">
						Un nombre Ãºnico, por ejemplo, <code class="computeroutput">ipsec1</code>. Esto es utilizado para identificar la conexiÃ³n <abbr class="abbrev">IPsec</abbr> y poder identificarla de otros dispositivos o conexiones.
					</div></li><li class="listitem"><div class="para">
						Una clave de encriptado manual, o automÃ¡ticamente generada por <code class="command">racoon</code>.
					</div></li><li class="listitem"><div class="para">
						Una clave de autenticaciÃ³n pre-compartida que es utilizada a lo largo de la etapa inicial de la conexiÃ³n, y que tambiÃ©n serÃ¡ utilizada luego para intercambiar claves de encriptado durante de la sesiÃ³n.
					</div></li></ul></div><div class="para">
				Por ejemplo, suponga que la estaciÃ³n de trabajo A y la estaciÃ³n de trabajo B quieren conectarse entre ellas mediante de un tÃºnel <abbr class="abbrev">IPsec</abbr>. Quieren conectarse utilizando una clave pre-compartida con el valor de <code class="computeroutput">Key_Value01</code>, y los usuarios acuerdan la utilizaciÃ³n de <code class="command">racoon</code> para generar y compartir una clave de autenticaciÃ³n entre cada equipo. Los usuarios de ambos equipos deciden referirse a su conexiÃ³n como <code class="computeroutput">ipsec1</code>..
			</div><div class="note"><h2>Nota</h2><div class="para">
					DeberÃa elegir una PSK (clave pre-compartida) que utilice una mezcla de caracteres en mayÃºscula y en minÃºscula, nÃºmeros y signos de puntuaciÃ³n. Una PSK fÃ¡cil de adivinar constituye un riesgo de seguridad.
				</div><div class="para">
					No es necesario utilizar el mismo nombre de conexiÃ³n para cada equipo. DeberÃa elegir un nombre que sea conveniente y que tenga sentido para su instalaciÃ³n.
				</div></div><div class="para">
				A continuaciÃ³n mostramos un archivo de configuraciÃ³n <abbr class="abbrev">IPsec</abbr> en la estaciÃ³n de trabajo A para una conexiÃ³n <abbr class="abbrev">IPsec</abbr> de tipo equipo-a-equipo con la estaciÃ³n de trabajo B. El nombre Ãºnico para identificar la conexiÃ³n en este ejemplo es <em class="replaceable"><code>ipsec1</code></em>, de modo que el archivo resultante es denominado <code class="filename">/etc/sysconfig/network-scripts/ifcfg-ipsec1</code>.
			</div><pre class="screen">DST=<em class="replaceable"><code>X.X.X.X</code></em>TYPE=IPSEC
ONBOOT=no
IKE_METHOD=PSK
</pre><div class="para">
				Para la estaciÃ³n de trabajo A, <em class="replaceable"><code>X.X.X.X</code></em> es la direcciÃ³n IP de la estaciÃ³n de trabajo B. Para la estaciÃ³n de trabajo B, <em class="replaceable"><code>X.X.X.X</code></em> es la direcciÃ³n IP de la estaciÃ³n de trabajo A. Esta conexiÃ³n no estÃ¡ configurada para iniciarse con el arranque del equipo (<code class="computeroutput">ONBOOT=no</code>) y utiliza el mÃ©todo de autenticaciÃ³n de clave pre-compartida (<code class="computeroutput">IKE_METHOD=PSK</code>).
			</div><div class="para">
				El siguiente es el contenido del archivo de clave pre-compartida (denominado <code class="filename">/etc/sysconfig/network-scripts/keys-ipsec1</code>) que las dos estaciones de trabajo necesitan para poder autenticarse entre ellas. El contenido de este archivo debe ser idÃ©ntico en ambas estaciones de trabajo, y solo el usuario root deberÃa ser capaz de leer o escribir en este archivo.
			</div><pre class="screen">IKE_PSK=Key_Value01
</pre><div class="important"><h2>Importante</h2><div class="para">
					Para modificar el archivo <code class="filename">keys-ipsec1</code> de modo que solo el usuario root pueda leerlo o editarlo, utilice el siguiente comando luego de haberlo creado:
				</div><pre class="screen">[root at myServer ~] # chmod 600 /etc/sysconfig/network-scripts/keys-ipsec1
</pre></div><div class="para">
				Para modificar la clave de autenticaciÃ³n en cualquier momento, edite el archivo <code class="filename">keys-ipsec1</code> en ambas estaciones de trabajo. <span class="emphasis"><em>Las dos claves de autenticaciÃ³n deben ser idÃ©nticas para una conexiÃ³n correcta</em></span>.
			</div><div class="para">
				El siguiente ejemplo muestra la configuraciÃ³n especÃfica de la primera fase de la conexiÃ³n con el equipo remoto. El archivo es denominado <code class="filename"><em class="replaceable"><code>X.X.X.X</code></em>.conf</code>, donde <em class="replaceable"><code>X.X.X.X</code></em> es la direcciÃ³n IP del equipo <abbr class="abbrev">IPsec</abbr> remoto. Fijese que este archivo es generado automÃ¡ticamente cuando el tÃºnel <abbr class="abbrev">IPsec</abbr> es activado y no deberÃa ser editado directamente.
			</div><pre class="screen">remote <em class="replaceable"><code>X.X.X.X</code></em>{
         exchange_mode aggressive, main;
         my_identifier address;
         proposal {
                 encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2 ;
        }
}
</pre><div class="para">
				El archivo de configuraciÃ³n de la etapa 1 que se ha creado por defecto cuando se inicia una conexiÃ³n <abbr class="abbrev">IPsec</abbr>, contiene las siguientes directivas utilizadas por la implementaciÃ³n de IPsec de Fedora:
			</div><div class="variablelist"><dl><dt><span class="term">remote <em class="replaceable"><code>X.X.X.X</code></em></span></dt><dd><div class="para">
							Indica que las siguientes lÃneas en este archivo de configuraciÃ³n se aplican solo al nodo remoto identificado por la direcciÃ³n IP <em class="replaceable"><code>X.X.X.X</code></em>.
						</div></dd><dt><span class="term">exchange_mode aggressive</span></dt><dd><div class="para">
							La configuraciÃ³n establecida por defecto en Fedora para <abbr class="abbrev">IPsec</abbr> utiliza un mÃ©todo de autenticaciÃ³n agresivo, que disminuye los excedentes de la conexiÃ³n, permitiendo la configuraciÃ³n de varias conexiones <abbr class="abbrev">IPsec</abbr> con mÃºltiples equipos.
						</div></dd><dt><span class="term">my_identifier address</span></dt><dd><div class="para">
							Indica el mÃ©todo de identificaciÃ³n a ser utilizado cuando se autentican nodos. Fedora utiliza direcciones IP para identificar nodos.
						</div></dd><dt><span class="term">encryption_algorithm 3des</span></dt><dd><div class="para">
							Especifica el cifrador de encriptaciÃ³n utilizado durante la autenticaciÃ³n. Por defecto, se usa el <em class="firstterm">EstÃ¡ndar de EncriptaciÃ³n de Datos Triple</em> (<acronym class="acronym">3DES</acronym>, por las iniciales en inglÃ©s de Triple Data Encryption Standard).
						</div></dd><dt><span class="term">hash_algorithm sha1;</span></dt><dd><div class="para">
							Indica el algoritmo hash utilizado durante la negociaciÃ³n entre los nodos de la etapa 1. Por defecto, se utiliza un algoritmo de hash seguro (SHA, por las iniciales en inglÃ©s de Secure Hash Algorithm).
						</div></dd><dt><span class="term">authentication_method pre_shared_key</span></dt><dd><div class="para">
							Indica el mÃ©todo de autenticaciÃ³n utilizado durante la negociaciÃ³n del nodo. Por defecto, Fedora utiliza una clave pre-compartida para la autenticaciÃ³n.
						</div></dd><dt><span class="term">dh_group 2</span></dt><dd><div class="para">
							Indica el nÃºmero de grupo Diffie-Hellman para establecer claves de sesiones generadas dinÃ¡micamente. Por defecto, se utiliza modp1024 (segundo grupo).
						</div></dd></dl></div><div class="section" title="2.7.6.2.1. El Archivo de configuraciÃ³n Racoon"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Manual_IPsec_Host_to_Host_Configuration-The_Racoon_Configuration_File">2.7.6.2.1. El Archivo de configuraciÃ³n Racoon</h5></div></div></div><div class="para">
					Los archivos <code class="filename">/etc/racoon/racoon.conf</code> deben ser idÃ©nticos en todos los nodos <abbr class="abbrev">IPsec</abbr>, <span class="emphasis"><em>excepto</em></span> para la directiva <code class="command">include "/etc/racoon/<em class="replaceable"><code>X.X.X.X</code></em>.conf"</code>. Esta directiva (y el archivo al que se refiere) es generada cuando el tÃºnel <abbr class="abbrev">IPsec</abbr> es activado. Para la estaciÃ³n de trabajo A, el valor <em class="replaceable"><code>X.X.X.X</code></em> en la directiva <code class="command">include</code> es la direcciÃ³n IP de la estaciÃ³n de trabajo B. Y para la estaciÃ³n de trabajo B, lo contrario. A continuaciÃ³n mostramos un archivo <code class="filename">racoon.conf</code> tÃpico cuando se activa una conexiÃ³n <abbr class="abbrev">IPsec</abbr>.
				</div><pre class="screen"># Racoon IKE daemon configuration file.
# See 'man racoon.conf' for a description of the format and entries.

path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

sainfo anonymous
{
        pfs_group 2;
        lifetime time 1 hour ;
        encryption_algorithm 3des, blowfish 448, rijndael ;
        authentication_algorithm hmac_sha1, hmac_md5 ;
        compression_algorithm deflate ;
}
include "/etc/racoon/X.X.X.X.conf";
</pre><div class="para">
					Este archivo <code class="filename">racoon.conf</code> establecido por defecto incluye caminos definidos para la configuraciÃ³n de <abbr class="abbrev">IPsec</abbr>, claves pre-compartidas y certificados. Los campos de <code class="computeroutput">sainfo anonymous</code> describen la etapa SA 2 entre los nodos <abbr class="abbrev">IPsec</abbr> â€” el tipo de conexiÃ³n <abbr class="abbrev">IPsec</abbr> (incluyendo los algoritmos de encriptaciÃ³n utilizados soportados), y el mÃ©todo de intercambio de claves. La siguiente lista define los campos de la estapa 2:
				</div><div class="variablelist"><dl><dt><span class="term">sainfo anonymous</span></dt><dd><div class="para">
								Indica que SA puede iniciarse anÃ³nimamente con cualquier par ofrecido que se corresponda con las credenciales de <abbr class="abbrev">IPsec</abbr>.
							</div></dd><dt><span class="term">pfs_group 2</span></dt><dd><div class="para">
								Define el protocolo de intercambio de claves Diffie-Hellman, que determina el mÃ©todo por el cual los nodos <abbr class="abbrev">IPsec</abbr> establecen una clave de sesiÃ³n mutua y temporal para la segunda etapa de la conectividad <abbr class="abbrev">IPsec</abbr>. Por defecto, la implementaciÃ³n en Fedora de <abbr class="abbrev">IPsec</abbr> utiliza el segundo (o <code class="computeroutput">modp1024</code>) de los grupos Diffie-Hellman de intercambio de claves criptogrÃ¡ficas. EL segundo grupo utiliza una exponenciaciÃ³n modular de 1024 bits que evita que los atacantes puedan decriptar transmisiones <abbr class="abbrev">IPsec</abbr>, aÃºn si una de las claves privadas ha sido vulnerada.
							</div></dd><dt><span class="term">lifetime time 1 hour</span></dt><dd><div class="para">
								Este parÃ¡metro indica el perÃodo de vida de una SA y puede ser medido o bien en unidades de tiempo, o bien con datos. La implementaciÃ³n en Fedora establecida por defecto de <abbr class="abbrev">IPsec</abbr> especifica un tiempo de vida de una hora.
							</div></dd><dt><span class="term">encryption_algorithm 3des, blowfish 448, rijndael</span></dt><dd><div class="para">
								Indica la cifra de encriptaciÃ³n soportada para la etapa 2. Fedora soporta 3DES, Blowfish de 448 bits, y Rijndael (la cifra utilizada en el <em class="firstterm">EstÃ¡ndard avanzado de encriptaciÃ³n</em>, or <acronym class="acronym">AES</acronym>, por las iniciales en inglÃ©s de Advanced Encryption Standard).
							</div></dd><dt><span class="term">authentication_algorithm hmac_sha1, hmac_md5</span></dt><dd><div class="para">
								Muestra los algoritmos hash soportados para la autenticaciÃ³n. Los mÃ³dulos soportados son los cÃ³digos de autenticaciÃ³n de mensajes de hash sha1 y md5 (HMAC).
							</div></dd><dt><span class="term">compression_algorithm deflate</span></dt><dd><div class="para">
								Indica el algoritmo de compresiÃ³n Deflate para el soporte de IP Payload Compression (IPCOMP), que potencialmente permite transmisiones mÃ¡s rÃ¡pidas de datagramas IP sobre conexiones mÃ¡s lentas.
							</div></dd></dl></div><div class="para">
					Para iniciar una conexiÃ³n, utilice el siguiente comando en cada uno de los equipos:
				</div><pre class="screen">[root at myServer ~]# /sbin/ifup <nickname>
</pre><div class="para">
					donde <nickname> es el nombre que ha indicado para la conexiÃ³n <abbr class="abbrev">IPsec</abbr>.
				</div><div class="para">
					Para verificar la conexiÃ³n <abbr class="abbrev">IPsec</abbr>, ejecute la herramienta <code class="command">tcpdump</code> para conocer los paquetes de red que estÃ¡n siendo transferidos entre los equipos, y verifique que estÃ¡n encriptados mediante IPsec. El paquete deberÃa incluir un encabezado AH y deberÃa mostrarse como un paquete ESP. ESP significa que estÃ¡ encriptado. Por ejemplo:
				</div><pre class="screen">[root at myServer ~]# tcpdump -n -i eth0 host <targetSystem>

IP 172.16.45.107 > 172.16.44.192: AH(spi=0x0954ccb6,seq=0xbb): ESP(spi=0x0c9f2164,seq=0xbb)
</pre></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html"><strong>Anterior</strong>2.7.6. ConfiguraciÃ³n de IPsec equipo-a-equipo</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html"><strong>Siguiente</strong>2.7.7. ConfiguraciÃ³n IPsec red-a-red</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-IPsec_Network_to_Network_Configuration-Manual_IPsec_Network_to_Network_Configuration.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.7.7.2. ConfiguraciÃ³n manual de una conexiÃ³n IPsec de tipo red-a-red.</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html" title="2.7.7. ConfiguraciÃ³n IPsec red-a-red"/><link rel="prev" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html" title="2.7.7. ConfiguraciÃ³n IPsec red-a-red"/><link rel="next" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Starting_and_Stopping_an_IPsec_Connection.html" title="2.7.8. Iniciar y detener una conexiÃ³n IPsec"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedorapr
 oject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Starting_and_Stopping_an_IPsec_Connection.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.7.7.2. ConfiguraciÃ³n manual de una conexiÃ³n IPsec de tipo red-a-red."><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-IPsec_Network_to_Network_Configuration-Manual_IPsec_Network_to_Network_Configuration">2.7.7.2. ConfiguraciÃ³n manual de una conexiÃ³n <abbr class="abbrev">IPsec</abbr> de tipo red-a-red.</h4></div></div></div><div class="p
 ara">
				Suponga que <acronym class="acronym">LAN</acronym> A (lana.ejemplo.com) y <acronym class="acronym">LAN</acronym> B (lanb.ejemplo.com) quieren conectarse entre ellas mediante un tÃºnel <abbr class="abbrev">IPsec</abbr>. La direcciÃ³n de red para <acronym class="acronym">LAN</acronym> A estÃ¡ en el rango 192.168.1.0/24. mientras qye <acronym class="acronym">LAN</acronym> B utiliza el rango 192.168.2.0/24. La direcciÃ³n IP de la puerta de enlace es 192.1686.1.254 para <acronym class="acronym">LAN</acronym> A y 192.168.2.254 para <acronym class="acronym">LAN</acronym> B. Los enrutadores <abbr class="abbrev">IPsec</abbr> estÃ¡n separados de cada puerta de enlace <acronym class="acronym">LAN</acronym> y utilizan dos dispositivos de red: eth0 estÃ¡ asignado a una direcciÃ³n IP estÃ¡tica accesible desde el exterior que tiene acceso a Internet, mientras eth1 actÃºa como un punto de enrutamiento para procesar y transmitir los paquetes <acronym class="acronym">LAN</acronym> de un no
 do de red a otro.
			</div><div class="para">
				La conexiÃ³n <abbr class="abbrev">IPsec</abbr> entre cada red utiliza una clave pre-compartida con el valor de <code class="computeroutput">r3dh4tl1nux</code>, y los administradores de A y B estÃ¡n de acuerdo en permitir que <code class="command">racoon</code> genere automÃ¡ticamente y comparta una clave de autenticaciÃ³n entre cada enrutador <abbr class="abbrev">IPsec</abbr>. El administrador de <acronym class="acronym">LAN</acronym> A decide identificar a la conexiÃ³n <abbr class="abbrev">IPsec</abbr> como <code class="computeroutput">ipsec0</code>, mientras que el administrador de <acronym class="acronym">LAN</acronym> B decide identificarla como <code class="computeroutput">ipsec1</code>.
			</div><div class="para">
				El siguiente ejemplo muestra los contenidos del archivo <code class="filename">ifcfg</code> para una conexiÃ³n <abbr class="abbrev">IPsec</abbr> de tipo red-a-red para <acronym class="acronym">LAN</acronym> A. El Ãºnico nombre para identificar la conexiÃ³n en este ejemplo es <em class="replaceable"><code>ipsec0</code></em>, de modo que el archivo resultante es <code class="filename">/etc/sysconfig/network-scripts/ifcfg-ipsec0</code>.
			</div><pre class="screen">TYPE=IPSEC
ONBOOT=yes
IKE_METHOD=PSK
SRCGW=192.168.1.254
DSTGW=192.168.2.254
SRCNET=192.168.1.0/24
DSTNET=192.168.2.0/24
DST=<em class="replaceable"><code>X.X.X.X</code></em>
</pre><div class="para">
				La siguiente lista describe los contenidos de este archivo:
			</div><div class="variablelist"><dl><dt><span class="term">TYPE=IPSEC</span></dt><dd><div class="para">
							Especifica el tipo de conexiÃ³n.
						</div></dd><dt><span class="term">ONBOOT=yes</span></dt><dd><div class="para">
							Indica que la conexiÃ³n deberÃa iniciarse en el arranque.
						</div></dd><dt><span class="term">IKE_METHOD=PSK</span></dt><dd><div class="para">
							Indica que la conexiÃ³n utiliza el mÃ©todo de clave pre-compartida para su autenticaciÃ³n.
						</div></dd><dt><span class="term">SRCGW=192.168.1.254</span></dt><dd><div class="para">
							La direcciÃ³n IP de la puerta de enlace origen. Para LAN A, es la puerta de enlace de LAN A, y para LAN B, la puerta de enlace LAN B.
						</div></dd><dt><span class="term">DSTGW=192.168.2.254</span></dt><dd><div class="para">
							La direcciÃ³n IP de la puerta de enlace destino. Para LAN A, es la puerta de enlace de LAN B, y para LAN B, la puerta de enlace de LAN A.
						</div></dd><dt><span class="term">SRCNET=192.168.1.0/24</span></dt><dd><div class="para">
							Indica la red de origen para la conexiÃ³n <abbr class="abbrev">IPsec</abbr>, que en nuestro ejemplo es el rango de red para LAN A.
						</div></dd><dt><span class="term">DSTNET=192.168.2.0/24</span></dt><dd><div class="para">
							Indica la red destino para la conexiÃ³n <abbr class="abbrev">IPsec</abbr>, que en nuestro ejemplo, es el rango de red para <acronym class="acronym">LAN</acronym> B.
						</div></dd><dt><span class="term">DST=X.X.X.X</span></dt><dd><div class="para">
							La direcciÃ³n IP accesible desde el exterior de <acronym class="acronym">LAN</acronym> B.
						</div></dd></dl></div><div class="para">
				El siguiente ejemplo es el contenido del archivo de clave pre-compartida denominado <code class="filename">/etc/sysconfig/network-scripts/keys-ipsec<em class="replaceable"><code>X</code></em></code> (donde <em class="replaceable"><code>X</code></em> es 0 para <acronym class="acronym">LAN</acronym> A, y 1 para <acronym class="acronym">LAN</acronym> B), que utilizan ambas redes para autenticarse entre ellas. Los contenidos de este archivo deberÃan ser idÃ©nticos y solo el usuario root deberÃa ser capaz de leer o escribir sobre este archivo.
			</div><pre class="screen">IKE_PSK=r3dh4tl1nux
</pre><div class="important"><h2>Importante</h2><div class="para">
					Para modificar el arhivo <code class="filename">keys-ipsec<em class="replaceable"><code>X</code></em></code> de modo que solo el usuario root pueda leerlo o editarlo, utilice el siguiente comando luego de haberlo creado:
				</div><pre class="screen">chmod 600 /etc/sysconfig/network-scripts/keys-ipsec1
</pre></div><div class="para">
				Para modificar la clave de autenticaciÃ³n en cualquier momento, edite el archivo <code class="filename">keys-ipsec<em class="replaceable"><code>X</code></em></code> en ambos enrutadores <abbr class="abbrev">IPsec</abbr>. <span class="emphasis"><em>Ambas claves deben ser idÃ©nticas para una conexiÃ³n correcta</em></span>.
			</div><div class="para">
				En el siguiente ejemplo se muestran los contenidos del archivo de configuraciÃ³n <code class="filename">/etc/racoon/racoon.conf</code> para la conexiÃ³n <abbr class="abbrev">IPsec</abbr>. FÃjese que la lÃnea <code class="computeroutput">include</code> al final del archivo es generada automÃ¡ticamente y solo aparece si el tunel <abbr class="abbrev">IPsec</abbr> estÃ¡ ejecutÃ¡ndose.
			</div><pre class="screen"># Racoon IKE daemon configuration file.
# See 'man racoon.conf' for a description of the format and entries.
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

sainfo anonymous
{
        pfs_group 2;
        lifetime time 1 hour ;
        encryption_algorithm 3des, blowfish 448, rijndael ;
        authentication_algorithm hmac_sha1, hmac_md5 ;
        compression_algorithm deflate ;
}
include "/etc/racoon/<em class="replaceable"><code>X.X.X.X</code></em>.conf"
</pre><div class="para">
				La siguiente es la configuraciÃ³n especÃfica para la conexiÃ³n con la red remota. El archivo es denominado <code class="filename"><em class="replaceable"><code>X.X.X.X</code></em>.conf</code> (donde <em class="replaceable"><code>X.X.X.X</code></em> es la direcciÃ³n IP del enrutador <abbr class="abbrev">IPsec</abbr> remoto). FÃjese que este archivo es automÃ¡ticamente generado cuando el tÃºnel <abbr class="abbrev">IPsec</abbr> es activado y no deberÃa ser editado directamente.
			</div><pre class="screen">remote <em class="replaceable"><code>X.X.X.X</code></em>{
        exchange_mode aggressive, main;
        my_identifier address;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2 ;
        }
}
</pre><div class="para">
				Antes de empezar la conexiÃ³n <abbr class="abbrev">IPsec</abbr>, deberÃa ser habilitado el reenvÃo de IP en el kernel. Para hacerlo:
			</div><div class="orderedlist"><ol><li class="listitem"><div class="para">
						Edite el archivo <code class="filename">/etc/sysctl.conf</code> y establezca <code class="computeroutput">net.ipv4.ip_forward</code> a <strong class="userinput"><code>1</code></strong>.
					</div></li><li class="listitem"><div class="para">
						Use el siguiente comando para habilitar los cambios:
					</div><pre class="screen">[root at myServer ~] # sysctl -p /etc/sysctl.conf
</pre></li></ol></div><div class="para">
				Para iniciar la conexiÃ³n <abbr class="abbrev">IPsec</abbr>, utilice el siguiente comando en cada enrutador:
			</div><pre class="screen">[root at myServer ~] # /sbin/ifup ipsec0
</pre><div class="para">
				Las conexiones estÃ¡n activas, y tanto <acronym class="acronym">LAN</acronym> A como <acronym class="acronym">LAN</acronym> B son capaces de comunicarse entre ellas. Las rutas fueron creadas automÃ¡ticamente mediante la inicializaciÃ³n de un programa que fue activado al ejecutarse <code class="command">ifup</code> en la conexiÃ³n <abbr class="abbrev">IPsec</abbr>. Para mostrar una lista de rutas para la red, utilice el siguiente comando:
			</div><pre class="screen">[root at myServer ~] # /sbin/ip route list
</pre><div class="para">
				Para verificar la conexiÃ³n <abbr class="abbrev">IPsec</abbr>, ejecute la herramienta <code class="command">tcpdump</code> en el dispositivo enrutable externamente (en nuestro ejemplo, eth0) para ver los paquetes de red que estÃ¡n siendo transferidos entre los equipos (o redes) y verifique que estÃ©n encriptados mediante IPsec. Por ejemplo, para verificar la conectividad <abbr class="abbrev">IPsec</abbr> de <acronym class="acronym">LAN</acronym> A, utilice el siguiente comando:
			</div><pre class="screen">[root at myServer ~] # tcpdump -n -i eth0 host <em class="replaceable"><code>lana.ejemplo.com</code></em>
</pre><div class="para">
				El paquete deberÃa incluir un encabezado AH y deberÃa mostrarse como paquetes ESP. ESP significa que estÃ¡ encriptado. Por ejemplo (las lÃneas invertidas indican que la lÃnea continÃºa):
			</div><pre class="screen">12:24:26.155529 lanb.ejemplo.com > lana.ejemplo.com: AH(spi=0x021c9834,seq=0x358): \
        lanb.ejemplo.com > lana.ejemplo.com: ESP(spi=0x00c887ad,seq=0x358) (DF) \
        (ipip-proto-4)
</pre></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html"><strong>Anterior</strong>2.7.7. ConfiguraciÃ³n IPsec red-a-red</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Starting_and_Stopping_an_IPsec_Connection.html"><strong>Siguiente</strong>2.7.8. Iniciar y detener una conexiÃ³n IPsec</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Kerberos-Additional_Resources.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.6.10. Recursos adicionales</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos"/><link rel="prev" href="sect-Security_Guide-Kerberos-Setting_Up_Cross_Realm_Authentication.html" title="2.6.9. Configurando la autenticaciÃ³n cruzada de reinados"/><link rel="next" href="sect-Security_Guide-Additional_Resources-Useful_Kerberos_Websites.html" title="2.6.10.2. PÃ¡ginas web Ãºtiles sobre Kerberos"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_C
 ontent/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Setting_Up_Cross_Realm_Authentication.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Useful_Kerberos_Websites.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.6.10. Recursos adicionales"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Kerberos-Additional_Resources">2.6.10. Recursos adicionales</h3></div></div></div><div class="para">
			Para mÃ¡s informaciÃ³n sobre Kerberos, consulte las fuentes que indicamos a continuaciÃ³n.
		</div><div class="section" title="2.6.10.1. DocumentaciÃ³n Instalada de Kerberos"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Installed_Kerberos_Documentation">2.6.10.1. DocumentaciÃ³n Instalada de Kerberos</h4></div></div></div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						La <em class="citetitle">GuÃa de InstalaciÃ³n de Kerberos V5</em> y la <em class="citetitle">GuÃa del Administrador del Sistema Kerberos V5</em> en formatos PostScript y HTML. Pueden ser encontradas en el directorio <code class="filename">/usr/share/doc/krb5-server-<em class="replaceable"><code><version-number></code></em>/</code> (donde <em class="replaceable"><code><version-number></code></em> es el nÃºmero de versiÃ³n del paquete <code class="command">krb5-server</code> instalado en su sistema).
					</div></li><li class="listitem"><div class="para">
						La <em class="citetitle">GuÃa del Usuario UNIX de Kerberos V5</em> en formatos PostScript y HTML. Pueden ser encontradas en el directorio <code class="filename">/usr/share/doc/krb5-workstation-<em class="replaceable"><code><version-number></code></em>/</code> (donde <em class="replaceable"><code><version-number></code></em> es el nÃºmero de versiÃ³n del paquete <code class="command">krb5-workstation</code> instalado en su sistema).
					</div></li><li class="listitem"><div class="para">
						PÃ¡ginas man de Kerberos â€” Hay un nÃºmero de pÃ¡ginas man para las varias aplicaciones y archivos de configuraciÃ³n involucrados con una implementaciÃ³n de Kerberos. La siguiente es una lista de algunas de las pÃ¡ginas man mÃ¡s importantes.
					</div><div class="variablelist"><dl><dt><span class="term">Aplicaciones cliente</span></dt><dd><div class="itemizedlist"><ul><li class="listitem"><div class="para">
											<code class="command">man kerberos</code> â€” Una introducciÃ³n al sistema Kerberos que describe cÃ³mo funcionan las credenciales y provee recomendaciones para obtener y destruir tickets de Kerberos. Al final de la pÃ¡gina man hay referencias hacia otras pÃ¡ginas man relacionadas con el tema.
										</div></li><li class="listitem"><div class="para">
											<code class="command">man kinit</code> â€” Describe cÃ³mo usar este comando para obtener y hacer cachÃ© de un ticket de garantÃa de tickets.
										</div></li><li class="listitem"><div class="para">
											<code class="command">man kdestroy</code> â€” Describe cÃ³mo usar este comando para destruir las credenciales de Kerberos.
										</div></li><li class="listitem"><div class="para">
											<code class="command">man klist</code> â€” Describe cÃ³mo usar este comando para listar las credenciales cacheadas de Kerberos.
										</div></li></ul></div></dd><dt><span class="term">Aplicaciones administrativas</span></dt><dd><div class="itemizedlist"><ul><li class="listitem"><div class="para">
											<code class="command">man kadmin</code> â€” Describe cÃ³mo usar este comando para administrar con la base de datos de Kerberos V5.
										</div></li><li class="listitem"><div class="para">
											<code class="command">man kdb5_util</code> â€” Describe cÃ³mo usar este comando para crear y realizar funciones administrativas de bajo nivel en la base de datos de Kerberos V5.
										</div></li></ul></div></dd><dt><span class="term">Aplicaciones de servidor</span></dt><dd><div class="itemizedlist"><ul><li class="listitem"><div class="para">
											<code class="command">man krb5kdc</code> â€” Describe las opciones de la lÃnea de comando del KDC de Kerberos V5.
										</div></li><li class="listitem"><div class="para">
											<code class="command">man kadmind</code> â€” Describe las opciones de la lÃnea de comando para el servidor de administraciÃ³n de Kerberos V5.
										</div></li></ul></div></dd><dt><span class="term">Archivos de configuraciÃ³n</span></dt><dd><div class="itemizedlist"><ul><li class="listitem"><div class="para">
											<code class="command">man krb5.conf</code> â€” Describe el formato y las opciones disponibles dentro del archivo de configuraciÃ³n para la biblioteca de Kerberos V5.
										</div></li><li class="listitem"><div class="para">
											<code class="command">man kdc.conf</code> â€” Describe el formato y las opciones disponibles dentro del archivo de configuraciÃ³n del AS y el KDC de Kerberos V5.
										</div></li></ul></div></dd></dl></div></li></ul></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Setting_Up_Cross_Realm_Authentication.html"><strong>Anterior</strong>2.6.9. Configurando la autenticaciÃ³n cruzada de r...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Useful_Kerberos_Websites.html"><strong>Siguiente</strong>2.6.10.2. PÃ¡ginas web Ãºtiles sobre Kerberos</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Client.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.6.6. ConfiguraciÃ³n de un Cliente Kerberos 5</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos"/><link rel="prev" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Server.html" title="2.6.5. Configurando un servidor Kerberos 5"/><link rel="next" href="sect-Security_Guide-Kerberos-Domain_to_Realm_Mapping.html" title="2.6.7. Mapeo dominio-a-reinado"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" 
 alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Server.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Domain_to_Realm_Mapping.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.6.6. ConfiguraciÃ³n de un Cliente Kerberos 5"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Client">2.6.6. ConfiguraciÃ³n de un Cliente Kerberos 5</h3></div></div></div><div class="para">
			Configurar un cliente de Kerberos 5 es menos complicado que configurar un servidor. Como mÃnimo, instale los paquetes del cliente y otÃ³rguele a cada cliente un archivo de configuraciÃ³n <code class="filename">krb5.conf</code> vÃ¡lido. Mientras que <code class="command">ssh</code> y <code class="command">slogin</code> son los mÃ©todos preferidos para loguearse remotamente en sistemas cliente, las versiones Kerberizadas de <code class="command">rsh</code> y <code class="command">rlogin</code> siguen estando disponibles, aunque para habilitarlas es necesario realizar algunos cambios adicionales en la configuraciÃ³n.
		</div><div class="procedure"><ol class="1"><li class="step" title="Paso 1"><div class="para">
					AsegÃºrese que la sincronizaciÃ³n del tiempo existe entre el cliente Kerberos y KDC. Vaya a <a class="xref" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Server.html" title="2.6.5. Configurando un servidor Kerberos 5">SecciÃ³nÂ 2.6.5, â€œConfigurando un servidor Kerberos 5â€</a> para mÃ¡s informaciÃ³n. AdemÃ¡s, verifique que el DNS estÃ¡ funcionando apropiadamente en el cliente Kerberos antes de continuar con los programas cliente de Kerberos.
				</div></li><li class="step" title="Paso 2"><div class="para">
					Instale los paquetes <code class="filename">krb5-libs</code> y <code class="filename">krb5-workstation</code> en todas las mÃ¡quinas clientes. Provea un archivo <code class="filename">/etc/krb5.conf</code> vÃ¡lido para cada cliente (normalmente este puede ser el mismo archivo <code class="filename">krb5.conf</code> usado por el KDC).
				</div></li><li class="step" title="Paso 3"><div class="para">
					Antes que una estaciÃ³n de trabajo del reinado pueda utilizar a Kerberos para autenticar los usuarios que se conectan mediante <code class="command">ssh</code>, o mediante los <code class="command">rsh</code> o <code class="command">rlogin</code> Kerberizados, debe tener su propio equipo principal en la base de datos de Kerberos. Los programas de servidor <code class="command">sshd</code>, <code class="command">kshd</code>, y <code class="command">klogind</code>, necesitan todos acceder a las llaves para los servicios del <span class="emphasis"><em>host</em></span> principal. AdemÃ¡s, para poder utilizar los servicios kerberizados <code class="command">rsh</code> y <code class="command">rlogin</code>, esa estaciÃ³n de trabajo debe tener el paquete <code class="filename">xinetd</code> instalado.
				</div><div class="para">
					Al utilizar <code class="command">kadmin</code> se agrega un principal de equipo para la estaciÃ³n de trabajo en el KDC. En este caso, la instancia es el nombre del equipo de la estaciÃ³n de trabajo. Utilice la opciÃ³n <code class="command">-randkey</code> para el comando <code class="command">addprinc</code> de <code class="command">kadmin</code>, para crear el principal y asignarle una llave en forma azarosa:
				</div><pre class="screen">addprinc -randkey host/<em class="replaceable"><code>bla.ejemplo.com</code></em>
</pre><div class="para">
					Ahora que se ha creado el principal, las claves se pueden extraer para la estaciÃ³n trabajo ejecutando <code class="command">kadmin</code> <span class="emphasis"><em>en la misma estaciÃ³n de trabajo</em></span> y usando el comando <code class="command">ktadd</code> dentro de <code class="command">kadmin</code>:
				</div><pre class="screen">ktadd -k /etc/krb5.keytab host/<em class="replaceable"><code>bla.ejemplo.com</code></em>
</pre></li><li class="step" title="Paso 4"><div class="para">
					Para usar otros servicios de red kerberizados, primero deben iniciarse. A continuaciÃ³n mostramos una lista de los servicios kerberizados comunes y las instrucciones acerca de cÃ³mo habilitarlos:
				</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
							<code class="command">ssh</code> â€” OpenSSH usa GSS-API para autenticar los usuarios en los servidores si la configuraciÃ³n del cliente y del servidor tienen ambas <code class="option">GSSAPIAuthentication</code> habilitado. Si el cliente tiene tambiÃ©n <code class="option">GSSAPIDelegateCredentials</code> habilitado, las credenciales del usuario se hacen disponibles en el sistema remoto.
						</div></li><li class="listitem"><div class="para">
							<code class="command">rsh</code> y <code class="command">rlogin</code> â€” Para usar las versiones kerberizadas de <code class="command">rsh</code> y <code class="command">rlogin</code>, habilite <code class="command">klogin</code>, <code class="command">eklogin</code> y <code class="command">kshell</code>.
						</div></li><li class="listitem"><div class="para">
							Telnet â€” Para usar Telnet kerberizado, debe habilitar <code class="command">krb5-telnet</code>.
						</div></li><li class="listitem"><div class="para">
							FTP â€” Para proveer acceso FTP, crear y extraer una clave para el principal con una raÃz de <code class="computeroutput">ftp</code>. AsegÃºrese de poner la instancia al nombre de equipo completo del servidor FTP, luego habilite <code class="command">gssftp</code>.
						</div></li><li class="listitem"><div class="para">
							IMAP â€” Para utilizar un servidor kerberizado IMAP, el paquete <code class="filename">cyrus-imap</code> utilizarÃ¡ Kerberos 5, si tambiÃ©n se encuentra instalado el paquete <code class="filename">cyrus-sasl-gssapi</code>. El paquete <code class="filename">cyrus-sasl-gssapi</code> contiene el complemento Cyrus SASL que tiene soporte para autenticaciÃ³n GSS-API. Cyrus IMAP deberÃa funcionar correctamente con Kerberos siempre y cuando el usuario <code class="command">cyrus</code> sea capaz de encontrar la clave correspondiente en <code class="filename">/etc/krb5.keytab</code>, y que la raÃz para el principal estÃ© definida para <code class="command">imap</code> (creada con <code class="command">kadmin</code>).
						</div><div class="para">
							Una alternativa a <code class="filename">cyrus-imap</code> se puede encontrar en el paquete <code class="command">dovecot</code>, que tambiÃ©n se incluye en Fedora. Este paquete contiene un servidor IMAP pero no da soporte a GSS-API y Kerberos por el momento.
						</div></li><li class="listitem"><div class="para">
							CVS â€” Para usar un servidor CVS kerberizado, <code class="command">gserver</code> usa un principal con una raÃz de <code class="computeroutput">cvs</code> y por lo demÃ¡s es idÃ©ntico al servidor CVS <code class="command">pserver</code>.
						</div></li></ul></div></li></ol></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Server.html"><strong>Anterior</strong>2.6.5. Configurando un servidor Kerberos 5</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Domain_to_Realm_Mapping.html"><strong>Siguiente</strong>2.6.7. Mapeo dominio-a-reinado</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Server.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.6.5. Configurando un servidor Kerberos 5</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos"/><link rel="prev" href="sect-Security_Guide-Kerberos-Kerberos_and_PAM.html" title="2.6.4. Kerberos y PAM"/><link rel="next" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Client.html" title="2.6.6. ConfiguraciÃ³n de un Cliente Kerberos 5"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentati
 on Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Kerberos_and_PAM.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Client.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.6.5. Configurando un servidor Kerberos 5"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Server">2.6.5. Configurando un servidor Kerberos 5</h3></div></div></div><div class="para">
			Cuando se configure Kerberos, primero instale el KDC. Si es necesario configurar servidores esclavos, instale el maestro primero.
		</div><div class="para">
			Para configurar el primer KDC de Kerberos, siga estos pasos:
		</div><div class="procedure"><ol class="1"><li class="step" title="Paso 1"><div class="para">
					AsegÃºrese que la sincronizaciÃ³n de hora y DNS estÃ©n funcionando correctamente en todos los clientes y mÃ¡quinas del servidor antes de continuar Kerberos. Preste una atenciÃ³n especial a la sincronizaciÃ³n entre el servidor Kerberos y sus clientes. Si la diferencia horaria entre el servidor y el cliente es mayor a cinco minutos (esto es configurable en Kerberos 5), los clientes de Kerberos no podrÃ¡n autenticarse en el servidor. Esta sincronizaciÃ³n es necesaria para prevenir que un atacante utilice un comprobante antiguo de Kerberos enmascarado como el de un usuario vÃ¡lido.
				</div><div class="para">
					Es recomendable configurar una red cliente/servidor compatible con el Protocolo de Horario de Red (NTP, por las siglas en inglÃ©s de Network Time Protocol), aÃºn cuando no se estÃ© utilizando Kerberos. Fedora incluye el paquete <code class="filename">ntp</code> para este propÃ³sito. Consulte <code class="filename">/usr/share/doc/ntp-<em class="replaceable"><code><version-number></code></em>/index.html</code> (donde <em class="replaceable"><code><version-number></code></em> es el nÃºmero de versiÃ³n del paquete <code class="filename">ntp</code> instalado en su sistema) para conocer detalles acerca de cÃ³mo configurar servidores con Protocolos de Horario de Red, o <a href="http://www.ntp.org">http://www.ntp.org</a>, para obtener mÃ¡s informaciÃ³n acerca de NTP.
				</div></li><li class="step" title="Paso 2"><div class="para">
					Instale los paquetes <code class="filename">krb5-libs</code>, <code class="filename">krb5-server</code> y <code class="filename">krb5-workstation</code> en la mÃ¡quina dedicada que correrÃ¡ KDC. Esta mÃ¡quina necesita ser muy segura â€” si es posible, no debe correr ningÃºn otro servicio mÃ¡s que KDC.
				</div></li><li class="step" title="Paso 3"><div class="para">
					Edite los archivos de configuraciÃ³n <code class="filename">/etc/krb5.conf</code> y <code class="filename">/var/kerberos/krb5kdc/kdc.conf</code> para reflejar el nombre del reinado y los mapeos dominio-a-reinado. Un reinado simple puede ser construido reemplazando instancias de <em class="replaceable"><code>EJEMPLO.COM</code></em> y <em class="replaceable"><code>ejemplo.com</code></em> con el nombre correcto del dominio â€” siendo seguro mantener la forma correcta de los nombres en mayÃºscula y en mÃnuscula â€” y cambiando el KDC de <em class="replaceable"><code>kerberos.elemplo.com</code></em> al nombre del servidor kerberos. Por convenciÃ³n, todos los nombres de reinados se escriben en mayÃºsculas, y todos los nombres de equipos y de dominios DNS en minÃºsculas. Para obtener informaciÃ³n detallada acerca de los formatos de estos archivos de configuraciÃ³n, consulte sus respectivas pÃ¡ginas man.
				</div></li><li class="step" title="Paso 4"><div class="para">
					Genere la base de datos usando el utilitario <code class="command">kdb5_util</code> desde una terminal:
				</div><pre class="screen">/usr/kerberos/sbin/kdb5_util create -s
</pre><div class="para">
					El comando <code class="command">create</code> genera la base de datos que almacena las clves para el reinado de Kerberos. El interruptor <code class="command">-s</code> obliga a la creaciÃ³n de un archivo <em class="firstterm">stash</em> en el cual la clave del servidor principal es almacenada. Si no existe un archivo stash desde donde poder leer la clave, el servidor kerberos (<code class="command">krb5kdc</code>) le pedirÃ¡ al usuario que ingrese la contraseÃ±a principal del servidor (que puede ser utilizada para generar nuevamente la clave) cada vez que se inicie.
				</div></li><li class="step" title="Paso 5"><div class="para">
					Edite el archivo <code class="filename">/var/kerberos/krb5kdc/kadm5.acl</code>. Este archivo es usado por <code class="command">kadmind</code> para determinar quÃ© principales tienen acceso administrativo a la base de datos de Kerberos y sus niveles de acceso. La mayorÃa de las organizaciones pueden obtenerlo por una Ãºnica lÃnea:
				</div><pre class="screen">*/admin at EJEMPLO.COMÂ Â *
</pre><div class="para">
					La mayorÃa de los usuarios se representan en la base de datos por un principal Ãºnico (con una instancia <span class="emphasis"><em>NULL</em></span>, o vacÃa, tal como <span class="emphasis"><em>juan at EJEMPLO.COM</em></span>). En esta configuraciÃ³n, los usuarios con un segundo principal con una instancia de <span class="emphasis"><em>admin</em></span> (por ejemplo, <span class="emphasis"><em>juan/admin at EJEMPLO.COM</em></span>) pueden manejar con poder completo sobre el reinado de la base de datos de Kerberos.
				</div><div class="para">
					DespuÃ©s de que se inicie <code class="command">kadmind</code> en el servidor, cualquier usuario puede acceder sus servicios ejecutando <code class="command">kadmin</code> en cualquier cliente o servidores en el reino. Sin embargo, sÃ³lo los usuarios listados en el archivo <code class="filename">kadm5.acl</code> pueden modificar la base de datos de ninguna forma, excepto para cambiar sus propias contraseÃ±as.
				</div><div class="note"><h2>Nota</h2><div class="para">
						La herramienta <code class="command">kadmin</code> permite la comunicaciÃ³n con el servidor <code class="command">kadmind</code> a travÃ©s de la red, y utiliza kerberos para manipular la autenticaciÃ³n. Consecuentemente, el primer principal debe existir previamente antes de intentar conectarse con el servidor a travÃ©s de la red para administrarlo. Genere el primer principal con el comando <code class="command">kadmin.local</code>, que ha sido especÃficamente diseÃ±ado para ser utilizado en el mismo equipo en el que funciona el KDC, y no utiliza Kerberos para su autenticaciÃ³n.
					</div></div><div class="para">
					Ingrese el comando siguiente <code class="command">kadmin.local</code> en la terminal KDC para crear el primer principal:
				</div><pre class="screen">/usr/kerberos/sbin/kadmin.local -q "addprinc <em class="replaceable"><code>nombreusuario</code></em>/admin"
</pre></li><li class="step" title="Paso 6"><div class="para">
					Inicie Kerberos usando los siguientes comandos:
				</div><pre class="screen">/sbin/service krb5kdc start
/sbin/service kadmin start
/sbin/service krb524 start
</pre></li><li class="step" title="Paso 7"><div class="para">
					Agregue principales para los usuarios mediante el comando <code class="command">addprinc</code> dentro de <code class="command">kadmin</code>. <code class="command">kadmin</code> y <code class="command">kadmin.local</code> son interfaces de lÃneas de comando al KDC. Como este, existen disponibles otros comandos â€” como por ejemplo <code class="command">addprinc</code> â€” luego de iniciar el programa <code class="command">kadmin</code>. Para obtener mas informaciÃ³n, consulte la pÃ¡gina man de <code class="command">kadmin</code>.
				</div></li><li class="step" title="Paso 8"><div class="para">
					Verifique que KDC estÃ¡ emitiendo tiques. Primero, corra <code class="command">kinit</code> para obtener un tique y guardarlo en un archivo cache de credencial. Luego, use <code class="command">klist</code> para ver la lista de credenciales en el cachÃ© y use <code class="command">kdestroy</code> para destruir el cachÃ© y las credenciales que contiene.
				</div><div class="note"><h2>Nota</h2><div class="para">
						Por defecto, <code class="command">kinit</code> intenta autenticarse utilizando el mismo nombre de usuario del de inicio de sesiÃ³n (no el del servidor Kerberos). Si ese nombre de usuario no se corresponde con un principal en la base de datos de Kerberos, <code class="command">kinit</code> envÃa un mensaje de error. Si eso sucede, indiquele a <code class="command">kinit</code> el nombre del principal correcto, como un argumento en la lÃnea de comando (<code class="command">kinit <em class="replaceable"><code><principal></code></em></code>).
					</div></div></li></ol></div><div class="para">
			Una vez que estos pasos sean completados, el servidor Kerberos ya deberÃa estar listo y ejecutÃ¡ndose.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Kerberos_and_PAM.html"><strong>Anterior</strong>2.6.4. Kerberos y PAM</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Client.html"><strong>Siguiente</strong>2.6.6. ConfiguraciÃ³n de un Cliente Kerberos 5</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Kerberos-Domain_to_Realm_Mapping.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.6.7. Mapeo dominio-a-reinado</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos"/><link rel="prev" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Client.html" title="2.6.6. ConfiguraciÃ³n de un Cliente Kerberos 5"/><link rel="next" href="sect-Security_Guide-Kerberos-Setting_Up_Secondary_KDCs.html" title="2.6.8. Configurando KDCs secundarios"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt=
 "Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Client.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Setting_Up_Secondary_KDCs.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.6.7. Mapeo dominio-a-reinado"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Kerberos-Domain_to_Realm_Mapping">2.6.7. Mapeo dominio-a-reinado</h3></div></div></div><div class="para">
			Cuando un cliente intenta acceder a un servicio que corre en un servidor particular, sabe el nombre del (<span class="emphasis"><em>equipo</em></span>) del servicio y el nombre del servidor (<span class="emphasis"><em>foo.ejemplo.com</em></span>), pero como se pueden desplegar mÃ¡s de un reinado en su red, debe averiguar el nombre del reinado en el que reside el servicio.
		</div><div class="para">
			Por defecto, el nombre del territorio se toma como el nombre de dominio DNS del servidor, en mayÃºsculas.
		</div><div class="literallayout"><p>foo.ejemplo.orgÂ â†’Â EJEMPLO.ORG<br/>
Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â foo.ejemplo.comÂ â†’Â EJEMPLO.COM<br/>
Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â foo.hq.ejemplo.comÂ â†’Â HQ.EJEMPLO.COM<br/>
</p></div><div class="para">
			En algunas configuraciones esto serÃ¡ suficiente, pero en otras, el nombre del reinado derivado serÃ¡ el nombre de un reinado no existente. En estos casos, el mapeo desde el nombre del dominio DNS del servidor, hacia su reinado, debe estar especificado en la secciÃ³n <span class="emphasis"><em>domain_realm</em></span> del sistema <code class="filename">krb5.conf</code> del cliente. Por ejemplo:
		</div><pre class="screen">[domain_realm]
.ejemplo.com = EJEMPLO.COM
ejemplo.com = EJEMPLO.COM
</pre><div class="para">
			En la configuraciÃ³n de arriba se especifica dos mapeos. El primero especifica que cualquier sistema en el dominio de DNS "ejemplo.com" pertenecen al reinado <span class="emphasis"><em>EJEMPLO.COM</em></span>. El segundo especifica que el nombre exacto "ejemplo.com" estÃ¡ tambiÃ©n en el reinado. (La distinciÃ³n entre el dominio y un equipo especÃfico se marca por la presencia o ausencia del "." inicial.) El mapeo tambiÃ©n se puede almacenar directamente en el DNS.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Client.html"><strong>Anterior</strong>2.6.6. ConfiguraciÃ³n de un Cliente Kerberos 5</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Setting_Up_Secondary_KDCs.html"><strong>Siguiente</strong>2.6.8. Configurando KDCs secundarios</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Kerberos-How_Kerberos_Works.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.6.3. Como Funciona Kerberos</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos"/><link rel="prev" href="sect-Security_Guide-Kerberos-Kerberos_Terminology.html" title="2.6.2. TerminologÃa de Kerberos"/><link rel="next" href="sect-Security_Guide-Kerberos-Kerberos_and_PAM.html" title="2.6.4. Kerberos y PAM"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><
 li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Kerberos_Terminology.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Kerberos_and_PAM.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.6.3. Como Funciona Kerberos"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Kerberos-How_Kerberos_Works">2.6.3. Como Funciona Kerberos</h3></div></div></div><div class="para">
			Kerberos se diferencia de los mÃ©todos de autenticaciÃ³n de tipo nombre de usuario/contraseÃ±a. En lugar de autenticar cada usuario en cada servicio de red, Kerberos utiliza encriptaciones simÃ©tricas y un servicio adicional confiable (un KDC), para autenticar usuarios en conjunto de servicios de red. Cuando un usuario se autentica en el KDC, el KDC devuelve a la mÃ¡quina del usuario en cuestiÃ³n un comprobante especÃfico para esa sesiÃ³n, y cualquier servicio kerberizado busca el comprobante en la mÃ¡quina del usuario, en lugar de pedir que el usuario se autentique utilizando una contraseÃ±a.
		</div><div class="para">
			Cuando un usuario kerberizado de una red se loguea en su estaciÃ³n de trabajo, su principal es enviado al KDC como parte de un pedido para un TGT del servidor de AutenticaciÃ³n. Este pedido puede ser enviado por el programa de logueo de modo que sea transparente para el usuario, o puede ser enviado por el programa <code class="command">kinit</code> luego que el usuario se haya logueado.
		</div><div class="para">
			El KDC entonces verifica con el principal en su base de datos. Si el principal es encontrado, el KDC crea un TGT, que se encripta usando la clave del usuario y se lo devuelve a ese usuario.
		</div><div class="para">
			El login, o programa <code class="command">kinit</code> en el cliente, se encarga de desencriptar el TGT utilizando la clave del usuario, que se analiza desde la contraseÃ±a del usuario. La clave del usuario es utilizada sÃ³lo en la mÃ¡quina cliente y <span class="emphasis"><em>no</em></span> se transmite en la red.
		</div><div class="para">
			El TGT es configurado para que caduque en un determinado perÃodo de tiempo (generalmente de diez a veinticuatro horas), y es almacenado en el cachÃ© de credenciales en la mÃ¡quina del cliente. Un tiempo de expiraciÃ³n es definido para que, en el supuesto caso que exista un TGT vulnerado, pueda ser utilizado por un atacante sÃ³lo durante un breve perÃodo de tiempo. Luego que se ha emitido un TGT, el usuario no necesita reingresar su contraseÃ±a hasta que este no expire, o hasta que haya finalizado su sesiÃ³n, y haya vuelto a iniciarla.
		</div><div class="para">
			Siempre que el usuario necesite acceso a un servicio de red, el software del cliente utiliza el TGT para pedirle al TGS un nuevo comprobante especÃficamente para ese servicio. El comprobante del servicio es entonces utilizado para autenticar de manera transparente al usuario frente al servicio en cuestiÃ³n.
		</div><div class="warning"><h2>Advertencia</h2><div class="para">
				El sistema Kerberos puede ser vulnerado si un usuario en la red se autentica frente a un servicio no kerberizado transmitiendo una contraseÃ±a con formato de texto simple. La utilizaciÃ³n de servicios no kerberizados es altamente desalentada. Entre tales servicios se encuentra Telnet y FTP. Es preferible la utilizaciÃ³n de otros protocolos encriptados, como servicios asegurados mediante SSH o SSL, aunque no es lo ideal.
			</div></div><div class="para">
			Este es solamente una presentaciÃ³n general de cÃ³mo funciona la autenticaciÃ³n de Kerberos. Vaya a la <a class="xref" href="sect-Security_Guide-Kerberos-Additional_Resources.html" title="2.6.10. Recursos adicionales">SecciÃ³nÂ 2.6.10, â€œRecursos adicionalesâ€</a> para conocer otros enlaces hacia informaciÃ³n mÃ¡s detallada.
		</div><div class="note"><h2>Nota</h2><div class="para">
				Kerberos depende de los siguientes servicios de red para funcionar correctamente. 
				<div class="itemizedlist"><ul><li class="listitem"><div class="para">
							SincronizaciÃ³n de reloj aproximado entre las mÃ¡quinas de la red.
						</div><div class="para">
							Un programa de sincronizaciÃ³n de relojes deberÃa ser configurado para la red, como por ejemplo <code class="command">ntpd</code>. Consulte <code class="filename">/usr/share/doc/ntp-<em class="replaceable"><code><version-number></code></em>/index.html</code> (donde <em class="replaceable"><code><version-number></code></em>, es el nÃºmero de versiÃ³n del paquete <code class="filename">ntp</code> instalado en su sistema) para obtener mÃ¡s detalles acerca de cÃ³mo definir servidores de Protocolos de Horarios de Red.
						</div></li><li class="listitem"><div class="para">
							Servicio de Nombre de Dominio (DNS).
						</div><div class="para">
							Debe asegurarse que las entradas DNS y los equipos en la red se encuentren todos configurados adecuadamente. Vea <em class="citetitle">Kerberos V5 System Administrator's Guide</em> en <code class="filename">/usr/share/doc/krb5-server-<em class="replaceable"><code><version-number></code></em></code> para obtener mÃ¡s informaciÃ³n, (donde <em class="replaceable"><code><version-number></code></em> es el nÃºmero de versiÃ³n del paquete <code class="filename">krb5-server</code> instalado en su sistema).
						</div></li></ul></div>
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Kerberos_Terminology.html"><strong>Anterior</strong>2.6.2. TerminologÃa de Kerberos</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Kerberos_and_PAM.html"><strong>Siguiente</strong>2.6.4. Kerberos y PAM</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Kerberos-Kerberos_Terminology.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.6.2. TerminologÃa de Kerberos</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos"/><link rel="prev" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos"/><link rel="next" href="sect-Security_Guide-Kerberos-How_Kerberos_Works.html" title="2.6.3. Como Funciona Kerberos"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a acce
 sskey="p" href="sect-Security_Guide-Kerberos.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-How_Kerberos_Works.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.6.2. TerminologÃa de Kerberos"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Kerberos-Kerberos_Terminology">2.6.2. TerminologÃa de Kerberos</h3></div></div></div><div class="para">
			Kerberos tiene su propia terminologÃa para definir varios aspectos del servicio. Antes de aprender cÃ³mo funciona Kerberos, es importante conocer algunos de los siguientes tÃ©rminos:
		</div><div class="variablelist"><dl><dt><span class="term">Servidor de autenticaciÃ³n (SA)</span></dt><dd><div class="para">
						Un servidor que envÃa comprobantes (o tickets) para un servicio determinado, comprobantes que en su momento serÃ¡n enviados a los usuarios para que puedan acceder a ese servicio. El AS responde con una peticiÃ³n a las solicitudes de los clientes que, o no tienen o no han enviado sus credenciales de autenticaciÃ³n. Generalmente, para tener acceso al servidor que emite las garantÃas de los comprobantes (TGS, por las siglas en inglÃ©s de Ticket-Granting Server), se envÃa un comprobante de obtenciÃ³n de garantÃa de comprobante (TGT, Ticket-Granting Ticket). Por Ãºltimo, el AS generalmente se ejecuta en el mismo equipo que el centro de distribuciÃ³n de claves (KDC, Key Distribution Center).
					</div></dd><dt><span class="term">ciphertext</span></dt><dd><div class="para">
						Datos encriptados.
					</div></dd><dt><span class="term">cliente</span></dt><dd><div class="para">
						Una entidad en la red (un usuario, equipo o aplicaciÃ³n) que puede recibir tickets desde Kerberos.
					</div></dd><dt><span class="term">credenciales</span></dt><dd><div class="para">
						Un conjunto de credenciales electrÃ³nicas temporales que verifican la identidad de un cliente para un servicio particular. TambiÃ©n llamado ticket.
					</div></dd><dt><span class="term">cachÃ© de credenciales o archivo de ticket</span></dt><dd><div class="para">
						Un archivo que contiene las claves para encriptar las comunicaciones entre un usuario y varios servicios de red. Kerberos 5 soporta un marco de trabajo para el uso de otros tipos de cache, tales como memoria compartida, pero los archivos son los mÃ¡s completamente soportados.
					</div></dd><dt><span class="term">hash de encriptado</span></dt><dd><div class="para">
						Un hash de una vuelta se usa para autenticar los usuarios. Estos son mÃ¡s seguros que usar datos no encriptados, pero todavÃa son relativamente fÃ¡ciles de desencriptar para craqueadores experimentados.
					</div></dd><dt><span class="term">GSS-API</span></dt><dd><div class="para">
						La Interfaz del Programa de la AplicaciÃ³n de Servicios Generales de Seguridad (API, por las siglas en inglÃ©s de Generic Security Service Application Program Interfaz), es un conjunto de funciones que proveen servicios de seguridad, definida en RFC-2743, publicada por el Equipo de Tareas de IngenierÃa de Internet. La API es utilizada por servicios y clientes para autenticarse mutuamente sin que sus programas posean conocimientos especÃficos de los mecanismos subyacentes. Si un servicio de red (como por ejemplo cyrus-IMAP) utiliza GSS-API, entonces puede autenticarse mediante Kerberos.
					</div></dd><dt><span class="term">hash</span></dt><dd><div class="para">
						TambiÃ©n conocido como <em class="firstterm">valor hash</em>. Un valor generado por el paso de una cadena a travÃ©s de una <em class="firstterm">funciÃ³n hash</em>. Estos valores son tÃpicamente usados para asegurar que los datos transmitidos no fueron interceptados y modificados.
					</div></dd><dt><span class="term">funciÃ³n hash</span></dt><dd><div class="para">
						Una forma de generar una "huella digital" desde los datos de entrada. Estas funciones reordenan, trasponen o alteran de otras formas para producir un <em class="firstterm">valor hash</em>.
					</div></dd><dt><span class="term">clave</span></dt><dd><div class="para">
						Los datos usados cuando se encriptan o desencriptan otros datos. Los datos encriptados no pueden ser desencriptados sin una clave apropiada o una extrema buena suerte de parte del craqueador.
					</div></dd><dt><span class="term">centro de distribuciÃ³n de claves (KDC)</span></dt><dd><div class="para">
						Un servicio que emite tickets de Kerberos, y que usualmente corre en el mismo equipo que el servidor de garantÃa de ticket (TGS).
					</div></dd><dt><span class="term">tabla de clave (keytab)</span></dt><dd><div class="para">
						Un archivo que incluye una lista no encriptada de principales con sus respectivas claves. Los servidores obtienen las claves que necesitan desde los archivos keytab en lugar de utilizar <code class="command">kinit</code>. El archivo keytab establecido por defecto es <code class="filename">/etc/krb5.keytab</code>. El servidor que administra el KDC <code class="command">/usr/kerberos/sbin/kadmind</code>, es el Ãºnico servicio que utiliza cualquier otro archivo (utiliza <code class="filename">/var/kerberos/krb5kdc/kadm5.keytab</code>).
					</div></dd><dt><span class="term">kinit</span></dt><dd><div class="para">
						El comando <code class="command">kinit</code> permite a un principal que ya ingresÃ³ obtener y hacer cachÃ© del ticket inicial de garantÃa de tickets (TGT). Vaya a la pÃ¡gina man de <code class="command">kinit</code> para mÃ¡s informaciÃ³n.
					</div></dd><dt><span class="term">principal (o nombre principal)</span></dt><dd><div class="para">
						El principal es el nombre Ãºnico de un servicio o de un usuario al que le es permitido autenticarse mediante Kerberos. El principal tiene la forma de <code class="computeroutput">root[/instance]@REALM</code>. Para un usuario tÃpico, el root es el mismo que su ID de inicio de sesiÃ³n. La <code class="computeroutput">instance</code> es opcional. Si el principal tiene una instancia, serÃ¡ diferenciada del root con una barra invertida ("/"). Una cadena vacÃa ("") es considerada una instancia vÃ¡lida (que difiere de la instancia <code class="computeroutput">NULL</code> establecida por defecto), pero utilizarla puede llegar a ser confuso. Todos los principales de un dominio poseen su propia clave, que para los usuarios es derivada desde una contraseÃ±a, o es un conjunto de servicios aleatorios.
					</div></dd><dt><span class="term">reinado</span></dt><dd><div class="para">
						Una red que use Kerberos, compuesta de uno o mÃ¡s servidores llamados KDCs y un nÃºmero potencialmente grande de clientes.
					</div></dd><dt><span class="term">servicio</span></dt><dd><div class="para">
						Un programa accedido por la red.
					</div></dd><dt><span class="term">ticket</span></dt><dd><div class="para">
						Un conjunto temporal de credenciales electrÃ³nicas que verifican la identidad de un cliente para un servicio particular. TambiÃ©n llamados credenciales o comprobantes.
					</div></dd><dt><span class="term">servidor de garantÃas de tickets (TGS)</span></dt><dd><div class="para">
						Un servidor que emite tickets para un servicio deseado que son a su vez dados a los usuarios para acceder al servicio. El TGS corre normalmente en el mismo equipo que el KDC.
					</div></dd><dt><span class="term">ticket de garantÃa de ticket (TGT)</span></dt><dd><div class="para">
						Un ticket especial que permite al cliente obtener tickets adicionales sin aplicar nuevamente en el KDC.
					</div></dd><dt><span class="term">contraseÃ±a no encriptada</span></dt><dd><div class="para">
						Una contraseÃ±a en texto plano, legible al humano.
					</div></dd></dl></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos.html"><strong>Anterior</strong>2.6. Kerberos</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-How_Kerberos_Works.html"><strong>Siguiente</strong>2.6.3. Como Funciona Kerberos</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Kerberos-Kerberos_and_PAM.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.6.4. Kerberos y PAM</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos"/><link rel="prev" href="sect-Security_Guide-Kerberos-How_Kerberos_Works.html" title="2.6.3. Como Funciona Kerberos"/><link rel="next" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Server.html" title="2.6.5. Configurando un servidor Kerberos 5"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a><
 /p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-How_Kerberos_Works.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Server.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.6.4. Kerberos y PAM"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Kerberos-Kerberos_and_PAM">2.6.4. Kerberos y PAM</h3></div></div></div><div class="para">
			Los servicios kerberizados actualmente no utilizan mÃ³dulos de autenticaciÃ³n conectables (PAM, por las siglas en inglÃ©s de Pluggable Authentication Modules) â€” estos servicios evitan completamente a PAM. Sin embargo, las aplicaciones que utilicen PAM pueden utilizar a Kerberos para autenticarse si el mÃ³dulo <code class="filename">pam_krb5</code> (provisto en el paquete <code class="filename">pam_krb5</code>) se encuentra instalado. El paquete <code class="filename">pam_krb5</code> contiene archivos de ejemplos de configuraciÃ³n que permiten que servicios como <code class="command">login</code> o <code class="command">gdm</code> puedan autenticar usuarios al mismo tiempo que obtienen credenciales de inicio utilizando sus contraseÃ±as. Si el acceso a los servicios de red es siempre realizado utilizando servicios kerberizados, o servicios que utilicen GSS-API como por ejemplo lo es IMAP, entonces puede considerarse a la red como razonablemente segura.
		</div><div class="important"><h2>Importante</h2><div class="para">
				Los administradores deben tener la precauciÃ³n de no permitir que los usuarios se autentiquen a determinados servicios de red, utilizando contraseÃ±as Kerberos. Muchos protocolos utilizados por estos servicios no encriptan las contraseÃ±as antes de enviarlas a travÃ©s de la red, destruyendo los beneficios del sistema Kerberos. Por ejemplo, los usuarios no deberÃan tener permitido autenticarse a servicios Telnet con la misma contraseÃ±a que utilizan para la autenticaciÃ³n en Kerberos.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-How_Kerberos_Works.html"><strong>Anterior</strong>2.6.3. Como Funciona Kerberos</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Server.html"><strong>Siguiente</strong>2.6.5. Configurando un servidor Kerberos 5</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Kerberos-Setting_Up_Cross_Realm_Authentication.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.6.9. Configurando la autenticaciÃ³n cruzada de reinados</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos"/><link rel="prev" href="sect-Security_Guide-Kerberos-Setting_Up_Secondary_KDCs.html" title="2.6.8. Configurando KDCs secundarios"/><link rel="next" href="sect-Security_Guide-Kerberos-Additional_Resources.html" title="2.6.10. Recursos adicionales"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="D
 ocumentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Setting_Up_Secondary_KDCs.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Additional_Resources.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.6.9. Configurando la autenticaciÃ³n cruzada de reinados"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Kerberos-Setting_Up_Cross_Realm_Authentication">2.6.9. Configurando la autenticaciÃ³n cruzada de reinados</h3></div></div></div><div class="para">
			La <span class="emphasis"><em>autenticaciÃ³n cruzada de reinado</em></span> es el tÃ©rmino usado para describir situaciones en que los clientes (normalmente usuarios) de un reinado utilizan Kerberos para autenticarse con servicios (tÃpicamente procesos servidor corriendo en un sistema servidor particular) que pertenecen a otro reinado distinto al propio.
		</div><div class="para">
			Para el caso mÃ¡s simple, para que un cliente de un reinado con nombre <code class="literal">A.EJEMPLO.COM</code> acceda a un servicio en el reinado <code class="literal">B.EJEMPLO.COM</code>, ambos reinados deben compartir una clave para el principal con nombre <code class="literal">krbtgt/B.EJEMPLO.COM at A.EJEMPLO.COM</code>, y ambas claves deben tener el mismo nÃºmero de versiÃ³n de clave asociadas a ellas.
		</div><div class="para">
			Para hacer esto, debe seleccionar una contraseÃ±a o frase de acceso muy fuerte y crear una entrada para el principal de ambos reinados usando kadmin.
		</div><div class="literallayout"><p><code class="computeroutput"><code class="prompt">#</code>Â <strong class="userinput"><code>kadminÂ -rÂ A.EXAMPLE.COM</code></strong></code>Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â <code class="computeroutput"><code class="prompt">kadmin:</code>Â <strong class="userinput"><code>add_principalÂ krbtgt/B.EXAMPLE.COM at A.EXAMPLE.COM</code></strong></code>Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â <code class="computeroutput">EnterÂ passwordÂ forÂ principalÂ "krbtgt/B.EXAMPLE.COM at A.EXAMPLE.COM":</code>Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â <code class="computeroutput">Re-enterÂ passwordÂ forÂ principalÂ "krbtgt/B.EXAMPLE.COM at A.EXAMPLE.COM":</code>Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â <code class="computeroutput">PrincipalÂ "krbtgt/B.EXAMPLE.COM at A.EXAMPLE.COM"Â created.</code>Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â <strong class="userinput"><code>quit</code></strong>Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â <code class="computeroutput"><code class="prompt">#</code>Â <strong class="userinput"><cod
 e>kadminÂ -rÂ B.EXAMPLE.COM</code></strong></code>Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â <code class="computeroutput"><code class="prompt">kadmin:</code>Â <strong class="userinput"><code>add_principalÂ krbtgt/B.EXAMPLE.COM at A.EXAMPLE.COM</code></strong></code>Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â <code class="computeroutput">EnterÂ passwordÂ forÂ principalÂ "krbtgt/B.EXAMPLE.COM at A.EXAMPLE.COM":</code>Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â <code class="computeroutput">Re-enterÂ passwordÂ forÂ principalÂ "krbtgt/B.EXAMPLE.COM at A.EXAMPLE.COM":</code>Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â <code class="computeroutput">PrincipalÂ "krbtgt/B.EXAMPLE.COM at A.EXAMPLE.COM"Â created.</code>Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â <strong class="userinput"><code>quit</code></strong><br/>
</p></div><div class="para">
			Use el comando <code class="command">get_principal</code> para verificar que ambas entradas tienen un nÃºmero de versiÃ³n de claves (valores <code class="literal">kvno</code>) y tipos de encriptados coincidentes.
		</div><div class="important"><h2>El volcado de la base de datos no lo hace</h2><div class="para">
				Los administradores conscientes de los procesos de seguridad, podrÃan intentar utilizar la opciÃ³n <code class="literal">-randkey</code> del comando <code class="command">add_principal</code>, para asignar una clave aleatoria en lugar de una contraseÃ±a, descargar la nueva entrada desde una base de datos del primer reinado, e importarla al segundo. Esto no va a funcionar a menos que las claves maestras de la base de datos del reinado sean idÃ©nticas, ya que las claves contenidas en una base de datos descargada, son encriptadas utilizando la clave maestra.
			</div></div><div class="para">
			Los clientes en el reinado <code class="literal">A.EJEMPLO.COM</code> son capaces ahora de autenticarse en los servicios del reinado <code class="literal">B.EJEMPLO.COM</code>. Dicho de otra manera, el reinado <code class="literal">B.EJEMPLO.COM</code> ahora <span class="emphasis"><em>confÃa</em></span> en el reinado <code class="literal">A.EJEMPLO.COM</code>, o, mÃ¡s sencillo aÃºn, ahora <code class="literal">B.EJEMPLO.COM</code> <span class="emphasis"><em>confÃa</em></span> en <code class="literal">A.EJEMPLO.COM</code>.
		</div><div class="para">
			Esto nos lleva a un punto importante: la confianza generada entre los reinados es, por defecto, unidireccional. El KDC para el reinado <code class="literal">B.EJEMPLO.COM</code> podrÃa confiar en clientes del reinado <code class="literal">A.EJEMPLO.COM</code> para autenticarse en sus servicios, pero este hecho no significa que el reinado <code class="literal">A.EJEMPLO.COM</code> confÃe en los clientes del reinado <code class="literal">B.EJEMPLO.COM</code> cuando estos intenten autenticarse en sus servicios. Para establecer una confianza bidireccional entre dos reinados, ambos van a necesitar compartir claves para el servicio <code class="literal">krbtgt/A.EJEMPLO.COM at B.EJEMPLO.COM</code> (tome nota de la forma invertida de acuerdo a los dos reinados comparados en el ejemplo anterior).
		</div><div class="para">
			Si las relaciones de confianza directa fueran la Ãºnica manera de hacer que dos reinados confÃen entre sÃ, serÃa bastante complicado configurar redes con gran cantidad de ellos. Afortunadamente, la confianza generada entre reinados es transitiva. Si los clientes del reinado <code class="literal">A.EJEMPLO.COM</code> pueden autenticarse en servicios del reinado <code class="literal">B.EJEMPLO.COM</code>, y los clientes del reinado <code class="literal">B.EJEMPLO.COM</code> pueden autenticarse en servicios del reinado <code class="literal">C.EJEMPLO.COM</code>, entonces los clientes de <code class="literal">A.EJEMPLO.COM</code> pueden tambiÃ©n autenticarse en los servicios del reinado <code class="literal">C.EJEMPLO.COM</code>, <span class="emphasis"><em>aÃºn cuando <code class="literal">C.EJEMPLO.COM</code> no confÃe directamente en los clientes del reinado <code class="literal">A.EJEMPLO.COM</code></em></span>. Esto significa que lo ideal para poder reducir la cantidad
  de esfuerzo al configurar una red con mÃºltiples reinados, que necesiten confiar unos en otros, serÃ¡ realizar las elecciones correctas a la hora de definir las relaciones de confianza entre ellos.
		</div><div class="para">
			Ahora se enfrenta a problemas mÃ¡s convencionales: el sistema cliente debe ser configurado para que pueda deducir apropiadamente el reinado al que un servicio particular pertenece, y debe poder determinar cÃ³mo obtener las credenciales en ese reinado.
		</div><div class="para">
			Vayamos en orden: el nombre del principal para un servicio provisto desde un sistema servidor especÃfico en un reinado dado normalmente es parecido a:
		</div><div class="literallayout"><p>service/server.ejemplo.com at EJEMPLO.COM<br/>
</p></div><div class="para">
			En el ejemplo siguiente, el <span class="emphasis"><em>servicio</em></span> es generalmente, o bien el nombre del protocolo en uso (otros valores comunes pueden ser <span class="emphasis"><em>ldap</em></span>, <span class="emphasis"><em>imap</em></span>, <span class="emphasis"><em>cvs</em></span>, y <span class="emphasis"><em>HTTP</em></span>), o bien <span class="emphasis"><em>equipo</em></span>. <span class="emphasis"><em>server.ejemplo.com</em></span> es el nombre del dominio del sistema completamente calificado que ejecuta el servicio, y <code class="literal">EJEMPLO.COM</code> es el nombre del reinado.
		</div><div class="para">
			Para deducir el dominio al que el servicio pertenece, los clientes por lo general consultan el DNS o la secciÃ³n <code class="literal">domain_realm</code> del archivo <code class="filename">/etc/krb5.conf</code> para mapear ya sea el nombre del equipo (<span class="emphasis"><em>server.ejemplo.com</em></span>) o el nombre del dominio DNS (<span class="emphasis"><em>.ejemplo.com</em></span>) hacia el nombre del reinado (<span class="emphasis"><em>EJEMPLO.COM</em></span>).
		</div><div class="para">
			Habiendo determinado a quÃ© reinado pertenece el servicio, un cliente tiene que determinar luego el conjunto de reinados que debe contactar y en quÃ© orden debe hacerlo, para obtener las credenciales a usar en la autenticaciÃ³n con el servicio.
		</div><div class="para">
			Esto se puede hacer de una o dos formas.
		</div><div class="para">
			El mÃ©todo establecido por defecto, que no requiere una configuraciÃ³n explÃcita, es dar a los reinados nombres dentro de una jerarquÃa compartida. Como ejemplo, suponer los reinados llamados <code class="literal">A.EJEMPLO.COM</code>, <code class="literal">B.EJEMPLO.COM</code>, and <code class="literal">EJEMPLO.COM</code>. Cuando un cliente del reinado <code class="literal">A.EJEMPLO.COM</code> intente autenticarse en un servicio del reinado <code class="literal">B.EJEMPLO.COM</code>, por defecto, lo primero que harÃ¡ serÃ¡ intentar obtener credenciales para el reinado <code class="literal">EJEMPLO.COM</code>, y luego utilizar esas credenciales para obtener unas nuevas para poder utilizarlas en el reinado <code class="literal">B.EJEMPLO.COM</code>.
		</div><div class="para">
			En este escenario el cliente trata el nombre del dominio como uno podrÃa tratar un nombre DNS. Reiteradamente va quitando los componentes de su propio nombre de reinado para generar los nombres del reinado que se encuentre jerÃ¡rquicamente "por encima del suyo", hasta que llegue a un punto que incluso sea jerÃ¡rquicamente superior al reinado del servicio. En ese punto empieza a analizar los componentes del nombre del servicio del reinado, hasta que obtiene el servicio del reinado. Cada reinado que se encuentre involucrado en el proceso, es considerado otro "salto".
		</div><div class="para">
			Por ejemplo, el uso de credenciales en <code class="literal">A.EJEMPLO.COM</code>, autenticando a un servicio en <code class="literal">B.EJEMPLO.COM</code><code class="literal">A.EJEMPLO.COM â†’ EJEMPLO.COM â†’ B.EJEMPLO.COM </code> <div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<code class="literal">A.EJEMPLO.COM</code> y <code class="literal">EJEMPLO.COM</code> comparten una clave para <code class="literal">krbtgt/EJEMPLO.COM at A.EJEMPLO.COM</code>
					</div></li><li class="listitem"><div class="para">
						<code class="literal">EJEMPLO.COM</code> y <code class="literal">B.EJEMPLO.COM</code> comparten una clave <code class="literal">krbtgt/B.EJEMPLO.COM at EJEMPLO.COM</code>
					</div></li></ul></div>
		</div><div class="para">
			Otro ejemplo, usando credenciales en <code class="literal">SITIO1.VENTAS.EJEMPLO.COM</code>, para autenticar a un servicio en <code class="literal">CUALQUIERLUGAR.EJEMPLO.COM</code><code class="literal">SITIO1.VENTAS.EJEMPLO.COM â†’ VENTAS.EJEMPLO.COM â†’ EJEMPLO.COM â†’ CUALQUIERLUGAR.EJEMPLO.COM </code> <div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<code class="literal">SITIO1.VENTAS.EJEMPLO.COM</code> y <code class="literal">VENTAS.EJEMPLO.COM</code> comparten una clave para <code class="literal">krbtgt/VENTAS.EJEMPLO.COM at SITIO1.VENTAS.EJEMPLO.COM</code>
					</div></li><li class="listitem"><div class="para">
						<code class="literal">VENTAS.EJEMPLO.COM</code> y <code class="literal">EJEMPLO.COM</code> comparten una clave para <code class="literal">krbtgt/EJEMPLO.COM at VENTAS.EJEMPLO.COM</code>
					</div></li><li class="listitem"><div class="para">
						<code class="literal">EJEMPLO.COM</code> y <code class="literal">CUALQUIERLUGAR.EJEMPO.COM</code> comparten una clave para <code class="literal">krbtgt/CUALQUIERLUGAR.EJEMPLO.COM at EJEMPLO.COM</code>
					</div></li></ul></div>
		</div><div class="para">
			Otro ejemplo, esta vez utilizando nombres de reinados que no compartan sufijos comunes (<code class="literal">DEVEL.EJEMPLO.COM</code> y <code class="literal">PROD.EJEMPLO.ORG</code> <code class="literal">DEVEL.EJEMPLO.COM â†’ EJEMPLO.COM â†’ COM â†’ ORG â†’ EJEMPLO.ORG â†’ PROD.EJEMPLO.ORG</code> <div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<code class="literal">DEVEL.EJEMPLO.COM</code> y <code class="literal">EJEMPLO.COM</code> comparten una clave para <code class="literal">krbtgt/EJEMPLO.COM at DEVEL.EJEMPLO.COM</code>
					</div></li><li class="listitem"><div class="para">
						<code class="literal">EJEMPLO.COM</code> y <code class="literal">COM</code> comparten una clave para <code class="literal">krbtgt/COM at EJEMPLO.COM</code>
					</div></li><li class="listitem"><div class="para">
						<code class="literal">COM</code> y <code class="literal">ORG</code> comparten una clave para <code class="literal">krbtgt/ORG at COM</code>
					</div></li><li class="listitem"><div class="para">
						<code class="literal">ORG</code> y <code class="literal">EJEMPLO.ORG</code> comparten una clave para <code class="literal">krbtgt/EJEMPLO.ORG at ORG</code>
					</div></li><li class="listitem"><div class="para">
						<code class="literal">EJEMPLO.ORG</code> y <code class="literal">PROD.EJEMPLO.ORG</code> comparten una clave para <code class="literal">krbtgt/PROD.EJEMPLO.ORG at EJEMPLO.ORG</code>
					</div></li></ul></div>
		</div><div class="para">
			El mÃ©todo mÃ¡s complicado, pero que al mismo tiempo es el mÃ¡s flexible, reside en configurar la secciÃ³n <code class="literal">capaths</code> del archivo <code class="filename">/etc/krb5.conf</code>, de modo que los clientes que tengan credenciales para un reinado especÃfico, deberÃ¡n buscar quÃ© reinado es el que le sigue en la cadena y que, eventualmente, serÃ¡ quien permita su autenticaciÃ³n con los servidores.
		</div><div class="para">
			El formato de la secciÃ³n <code class="literal">capaths</code> es relativamente sencillo: cada entrada en la secciÃ³n tiene el mismo nombre que el reinado en el que pudiera existir el cliente. Dentro de cada subsecciÃ³n, el conjunto de los reinados intermedios desde donde el cliente tiene que obtener las credenciales, se muestran como los valores de la llave que se corresponde con el reinado en el que puede residir el servicio. Si no existen reinados intermedios, serÃ¡ utilizado el valor ".".
		</div><div class="para">
			AquÃ hay un ejemplo:
		</div><div class="literallayout"><p>[capaths]<br/>
Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â A.EJEMPLO.COMÂ =Â {<br/>
Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â B.EJEMPLO.COMÂ =Â .<br/>
Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â C.EJEMPLO.COMÂ =Â B.EJEMPLO.COM<br/>
Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â D.EJEMPLO.COMÂ =Â B.EJEMPLO.COM<br/>
Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â D.EJEMPLO.COMÂ =Â C.EJEMPLO.COM<br/>
Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â }<br/>
</p></div><div class="para">
			En este ejemplo, los clientes en el reinado <code class="literal">A.EJEMPLO.COM</code> pueden obtener credenciales de reinados cruzados para <code class="literal">B.EJEMPLO.COM</code> directamente del KDC de <code class="literal">A.EJEMPLO.COM</code>.
		</div><div class="para">
			Si esos clientes desean contactar un servicio en el reinado <code class="literal">C.EJEMPLO.COM</code>, necesitarÃ¡n obtener primero credenciales necesarias del reinado <code class="literal">B.EJEMPLO.COM</code> (esto requiere que <code class="literal">krbtgt/B.EJEMPLO.COM at A.EJEMPLO.COM</code> exista), y entonces utilizar <code class="literal">esas</code> credenciales para obtener otras para ser utilizadas en el reinado <code class="literal">C.EJEMPLO.COM</code> (utilizando <code class="literal">krbtgt/C.EJEMPLO.COM at B.EJEMPLO.COM</code>).
		</div><div class="para">
			Si esos clientes desean contactar un servicio en el reinado <code class="literal">D.EJEMPLO.COM</code>, necesitarÃ¡n obtener primero las credenciales necesarias del reinado <code class="literal">B.EJEMPLO.COM</code>, y luego las credenciales del reinado <code class="literal">C.EJEMPLO.COM</code>, antes de obtener, finalmente, las credenciales necesarias para utilizar con el reinado <code class="literal">D.EJEMPLO.COM</code>.
		</div><div class="note"><h2>Nota</h2><div class="para">
				Sin una entrada que indique lo contrario, Kerberos asume que las relaciones de confianza de reinados cruzados forman una jerarquÃa.
			</div><div class="para">
				Los clientes en el reinado <code class="literal">A.EJEMPLO.COM</code> pueden obtener credenciales cruzadas del reinado <code class="literal">B.EJEMPLO.COM</code> directamente. Sin el "." indicando esto, el cliente intentarÃa sino usar un camino jerÃ¡rquico, en este caso:
			</div><div class="literallayout"><p>A.EXAMPLE.COMÂ â†’Â EXAMPLE.COMÂ â†’Â B.EXAMPLE.COM<br/>
</p></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Setting_Up_Secondary_KDCs.html"><strong>Anterior</strong>2.6.8. Configurando KDCs secundarios</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Additional_Resources.html"><strong>Siguiente</strong>2.6.10. Recursos adicionales</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Kerberos-Setting_Up_Secondary_KDCs.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.6.8. Configurando KDCs secundarios</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos"/><link rel="prev" href="sect-Security_Guide-Kerberos-Domain_to_Realm_Mapping.html" title="2.6.7. Mapeo dominio-a-reinado"/><link rel="next" href="sect-Security_Guide-Kerberos-Setting_Up_Cross_Realm_Authentication.html" title="2.6.9. Configurando la autenticaciÃ³n cruzada de reinados"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_
 right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Domain_to_Realm_Mapping.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Setting_Up_Cross_Realm_Authentication.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.6.8. Configurando KDCs secundarios"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Kerberos-Setting_Up_Secondary_KDCs">2.6.8. Configurando KDCs secundarios</h3></div></div></div><div class="para">
			Por diversas razones, usted puede elegir ejecutar varios KDCs para un reinado dado. En este escenario, un KDC (el <span class="emphasis"><em>KDC maestro</em></span>) conserva una copia modificable de la base de datos del reinado, y ejecuta <code class="command">kadmind</code> (que tambiÃ©n es el <span class="emphasis"><em>admin server</em></span> de su reinado), y uno o mÃ¡s KDCs (<span class="emphasis"><em>esclavos</em></span>) conservan copias de solo lectura de la base de datos, y ejecutan <code class="command">kpropd</code>.
		</div><div class="para">
			El procedimiento de propagaciÃ³n maestro-esclavo requiere que el KDC maestro vuelque su base de datos a un archivo de volcado temporal y luego transmita ese archivo a cada uno de sus esclavos, que luego sobreescriben sus copias sÃ³lo lectura de la base de datos recibidas antes, con el contenido del archivo de volcado.
		</div><div class="para">
			Para configurar un KDC esclavo, primero asegÃºrese que los archivos <code class="filename">krb5.conf</code> y <code class="filename">kdc.conf</code> del KDC maestro fueron copiados al KDC esclavo.
		</div><div class="para">
			Inicie <code class="command">kadmin.local</code> desde una consola raÃz en el KDC maestro, y utilice su comando <code class="command">add_principal</code> para crear una nueva entrada para el servicio <span class="emphasis"><em>host</em></span> del KDC maestro, y luego utilice su comando <code class="command">ktadd</code> para definir una llave aleatoria para el servicio, y al mismo tiempo almacenarla en el archivo keytab establecido por defecto. Esta llave serÃ¡ utilizada por el comando <code class="command">kprop</code> para autenticarse a los servidores esclavos. Usted necesitarÃ¡ hacer esto sÃ³lo una vez, sin importar la cantidad de servidores esclavos que tenga instalados.
		</div><pre class="screen"><code class="prompt">#</code> <strong class="userinput"><code>kadmin.local -r EXAMPLE.COM</code></strong>

Authenticating as principal root/admin at EXAMPLE.COM with password. 

<code class="prompt">kadmin:</code> <strong class="userinput"><code>add_principal -randkey host/masterkdc.example.com</code></strong> 

Principal "host/host/masterkdc.example.com at EXAMPLE.COM" created. 

<code class="prompt">kadmin:</code> <strong class="userinput"><code>ktadd host/masterkdc.example.com</code></strong> 

Entry for principal host/masterkdc.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5.keytab. 

Entry for principal host/masterkdc.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5.keytab. 

Entry for principal host/masterkdc.example.com with kvno 3, encryption type DES with HMAC/sha1 added to keytab WRFILE:/etc/krb5.keytab. 

Entry for principal host/masterkdc.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5.keytab.

<code class="prompt">kadmin:</code> <strong class="userinput"><code>quit</code></strong>
</pre><div class="para">
			Inicie <code class="command">kadmin</code> como usuario root desde una terminal en el KDC esclavo, y utilice el comando <code class="command">add_principal</code> para crear una nueva entrada para su servicio <span class="emphasis"><em>host</em></span>. Luego utilice el comando <code class="command">ktadd</code>, de <code class="command">kadmin</code>, para establecer (y al mismo tiempo almacenar) en el archivo keytab del esclavo, una llave aleatoria para el servicio. Esta llave es utilizada por el servicio <code class="command">kpropd</code> cuando se necesite autenticar a los clientes.
		</div><pre class="screen"><code class="prompt">#</code> <strong class="userinput"><code>kadmin -p jimbo/admin at EXAMPLE.COM -r EXAMPLE.COM</code></strong>

Authenticating as principal jimbo/admin at EXAMPLE.COM with password. 

<code class="prompt">Password for jimbo/admin at EXAMPLE.COM: </code>

<code class="prompt">kadmin:</code> <strong class="userinput"><code>add_principal -randkey host/slavekdc.example.com</code></strong> 

Principal "host/slavekdc.example.com at EXAMPLE.COM" created. 

<code class="prompt">kadmin:</code> <strong class="userinput"><code>ktadd host/slavekdc.example.com at EXAMPLE.COM</code></strong> 

Entry for principal host/slavekdc.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5.keytab. 

Entry for principal host/slavekdc.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5.keytab. 

Entry for principal host/slavekdc.example.com with kvno 3, encryption type DES with HMAC/sha1 added to keytab WRFILE:/etc/krb5.keytab. 

Entry for principal host/slavekdc.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5.keytab. 

<code class="prompt">kadmin:</code> <strong class="userinput"><code>quit</code></strong>
</pre><div class="para">
			Con la clave de este servicio, el KDC esclavo puede autenticar a cualquier cliente que intente conectarse a Ã©l. Obviamente, no a todos ellos deberÃa permitÃrsele proveer el servicio esclavo <code class="command">kprop</code> con una nueva base de datos del reinado. Para restringir el acceso, el servicio <code class="command">kprop</code> en el KDC esclavo solo aceptarÃ¡ actualizaciones de clientes cuyos nombre de principal estÃ©n listados en <code class="filename">/var/kerberos/krb5kdc/kpropd.acl</code>. Agregue el nombre del equipo KDC maestro a esa lista.
		</div><div class="literallayout"><p><code class="computeroutput"><code class="prompt">#</code>Â <strong class="userinput"><code>echoÂ equipo/kdcmaestro.ejemplo.com at EJEMPLO.COMÂ >Â /var/kerberos/krb5kdc/kpropd.acl</code></strong></code><br/>
</p></div><div class="para">
			Una vez que el KDC esclavo haya obtenido una copia de la base de datos, necesitarÃ¡ tambiÃ©n la clave maestra que ha sido utilizada para encriptarlo. Si la llave maestra de su base de datos KDC ha sido almacenada en un archivo <span class="emphasis"><em>stash</em></span> del KDC maestro (generalmente denominada <code class="filename">/var/kerberos/krb5kdc/.k5.REALM</code>), cÃ³piela en el KDC esclavo utilizando cualquier mÃ©todo disponible que sea seguro, o cree una base de datos y un archivo escondite falsos en el KDC esclavo ejecutando <code class="command">kdb5_util create -s</code> (la base de datos falsa serÃ¡ sobreescrita con la primera propagaciÃ³n de base de datos que sea exitosa), e indicando la misma contraseÃ±a.
		</div><div class="para">
			AsegÃºrese que el cortafuego del KDC esclavo permite al KDC maestro contactarlo usando el puerto 754 con TCP (<span class="emphasis"><em>krb5_prop</em></span>), e inicie el servicio <code class="command">kprop</code>. Luego, vuelva a chequear si el servicio <code class="command">kadmin</code> estÃ¡ <span class="emphasis"><em>deshabilitado</em></span>.
		</div><div class="para">
			Ahora realice una prueba manual de propagaciÃ³n de la base de datos volcando la base de datos del reinado, en el KDC maestro, al archivo de datos predeterminado desde donde el comando <code class="command">kprop</code> leerÃ¡ (<code class="filename">/var/kerberos/krb5kdc/slave_datatrans</code>) y luego use el comando <code class="command">kprop</code> para transmitir su contenido al KDC esclavo.
		</div><div class="literallayout"><p><code class="computeroutput"><code class="prompt">#</code>Â <strong class="userinput"><code>/usr/kerberos/sbin/kdb5_utilÂ dumpÂ /var/kerberos/krb5kdc/slave_datatrans</code></strong><code class="prompt">#</code>Â <strong class="userinput"><code>kpropÂ slavekdc.example.com</code></strong></code><br/>
</p></div><div class="para">
			Usando <code class="command">kinit</code>, verifique que un sistema cliente cuyo <code class="filename">krb5.conf</code> liste sÃ³lo el KDC esclavo en su lista de KDCs para su reinado, pueda ahora obtener correctamente las credenciales iniciales del KDC esclavo.
		</div><div class="para">
			Hecho esto, simplemente cree un script que vuelque la base de datos del reinado y ejecute el comando <code class="command">kprop</code> para transmitir la base de datos a cada KDC esclavo por vez, y configure el servicio <code class="command">cron</code> para correr el script periÃ³dicamente.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Domain_to_Realm_Mapping.html"><strong>Anterior</strong>2.6.7. Mapeo dominio-a-reinado</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Setting_Up_Cross_Realm_Authentication.html"><strong>Siguiente</strong>2.6.9. Configurando la autenticaciÃ³n cruzada de r...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Kerberos.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.6. Kerberos</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Securing_Your_Network.html" title="CapÃtulo 2. Asegurando su Red"/><link rel="prev" href="sect-Security_Guide-Additional_Resources-Related_Books.html" title="2.5.5.3. Libros relacionados"/><link rel="next" href="sect-Security_Guide-Kerberos-Kerberos_Terminology.html" title="2.6.2. TerminologÃa de Kerberos"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"
 /></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Related_Books.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Kerberos_Terminology.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="section" title="2.6. Kerberos"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Kerberos">2.6. Kerberos</h2></div></div></div><div class="para">
		La seguridad e integridad del sistema dentro de la red puede ser complejo. Puede necesitarse el tiempo de varios administradores solo para poder conocer quÃ© servicios son los que estÃ¡n ejecutÃ¡ndose en una red, y la manera en que estÃ¡n siendo utilizados.
	</div><div class="para">
		Y mÃ¡s aÃºn, la autenticaciÃ³n de usuarios en los servicios de red pueden ser peligrosa cuando los mÃ©todos usados por el protocolo sean inherentemente inseguros, como lo demuestran los protocolos tradicionales FTP y Telnet, que transfieren contraseÃ±as no encriptadas sobre la red.
	</div><div class="para">
		Kerberos es una forma de eliminar la necesidad de protocolos que permitan mÃ©todos inseguros de autenticaciÃ³n, por lo que mejora la seguridad general de la red.
	</div><div class="section" title="2.6.1. Â¿QuÃ© es Kerberos?"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Kerberos-What_is_Kerberos">2.6.1. Â¿QuÃ© es Kerberos?</h3></div></div></div><div class="para">
			Kerberos es un protocolo de autenticaciÃ³n de red creado por el MIT (Massachusetts Institute of Technology), y utiliza una criptografÃa de llave simÃ©trica <sup>[<a id="d0e7540" href="#ftn.d0e7540" class="footnote">14</a>]</sup> para autenticar a los usuarios de los servicios de red, lo que en pocas palabras significa que las contraseÃ±as nunca son enviadas a travÃ©s de la red.
		</div><div class="para">
			Consecuentemente, cuando los usuarios se autentican con servicios de red usando Kerberos, los usuarios no autorizados que intenten averiguar las contraseÃ±as monitoreando el trÃ¡fico de red son efectivamente bloqueados.
		</div><div class="section" title="2.6.1.1. Ventajas de Kerberos"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-What_is_Kerberos-Advantages_of_Kerberos">2.6.1.1. Ventajas de Kerberos</h4></div></div></div><div class="para">
				La mayorÃa de los servicios convencionales de red utilizan esquemas de autenticaciÃ³n basados en contraseÃ±as. Estos esquemas piden que los usuarios se identifiquen en un servidor de red determinado mediante su nombre y contraseÃ±a. Desafortunadamente, la transmisiÃ³n de los datos para la autenticaciÃ³n de muchos servicios no es encriptada. Para que este tipo de esquemas sean seguros, la red tiene que permanecer inaccesible a los usuarios extraÃ±os a ella, y todos los equipos y todos los usuarios pertenecientes deben ser considerados confiables.
			</div><div class="para">
				AÃºn si este es el caso, una red que se encuentre conectada a Internet no puede ser concebida como una red segura. Cualquier atacante que obtenga acceso a la red puede utilizar un simple analizador de paquetes, tambiÃ©n conocido como "rastreador" de paquetes, para interceptar nombres de usuario y contraseÃ±as, comprometiendo las cuentas de usuario y la integridad de toda la infraestructura de seguridad.
			</div><div class="para">
				El objetivo primario del diseÃ±o de Kerberos es eliminar la transmisiÃ³n de contraseÃ±as encriptadas en la red. Si se usa apropiadamente, Kerberos elimina efectivamente la amenaza de los husmeadores (sniffers) de paquetes en la red.
			</div></div><div class="section" title="2.6.1.2. Desventajas de Kerberos"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-What_is_Kerberos-Disadvantages_of_Kerberos">2.6.1.2. Desventajas de Kerberos</h4></div></div></div><div class="para">
				Aunque Kerberos elimina una amenaza de seguridad comÃºn y severa, puede ser difÃcil de implementar por una variedad de razones:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						Puede ser algo muy tedioso migrar las contraseÃ±as de los usuarios de una base de datos UNIX estÃ¡ndar, como ser por ejemplo <code class="filename">/etc/passwd</code> o <code class="filename">/etc/shadow</code> hacia una base de datos para contraseÃ±as Kerberos, ya que no hay ningÃºn mecanismo automatizado para realizar esta tarea. Consulte la pregunta 2.23 en el FAQ en lÃnea de Kerberos:
					</div><div class="para">
						<a href="http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#pwconvert">http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html</a>
					</div></li><li class="listitem"><div class="para">
						Kerberos sÃ³lo tiene compatibilidad parcial con el sistema PAM de mÃ³dulos de autenticaciÃ³n conectables, utilizado por la mayorÃa de los servidores Fedora. Vaya a la <a class="xref" href="sect-Security_Guide-Kerberos-Kerberos_and_PAM.html" title="2.6.4. Kerberos y PAM">SecciÃ³nÂ 2.6.4, â€œKerberos y PAMâ€</a> para mÃ¡s informaciÃ³n al respecto.
					</div></li><li class="listitem"><div class="para">
						Kerberos presupone que cada usuario es confiable, pero que estÃ¡ utilizando un equipo o una red que no lo es. Su objetivo principal es prevenir la transmisiÃ³n en la red de contraseÃ±as no encriptadas. Sin embargo, si alguien mÃ¡s tiene acceso al Ãºnico equipo que envÃa los comprobantes utilizados para la autenticaciÃ³n â€” denominado el <em class="firstterm">centro de distribuciÃ³n de claves</em> (<em class="firstterm">KDC</em>, por las siglas en inglÃ©s de Key Distribution Center) â€”, ademÃ¡s del usuario correspondiente, entonces todo el sistema de autenticaciÃ³n Kerberos estÃ¡ corriendo riesgo.
					</div></li><li class="listitem"><div class="para">
						Para que una aplicaciÃ³n utilice Kerberos, su origen debe ser modificado para que puede realizar las llamadas apropiadas a las bibliotecas de Kerberos. Las aplicaciones asÃ modificadas son consideradas como <em class="firstterm">compatibles con Kerberos</em>, o <em class="firstterm">kerberizadas</em>. Para algunas, esto puede ser bastante problemÃ¡tico debido al tamaÃ±o de la aplicaciÃ³n o debido a su diseÃ±o. Para otras aplicaciones incompatibles, los cambios deben ser hechos de manera tal de permitir que el cliente y el servidor puedan comunicarse. De nuevo, esto puede necesitar una programaciÃ³n extensa. Las aplicaciones de cÃ³digo propietario que no tienen soporte para Kerberos por defecto, son por lo general las mÃ¡s problemÃ¡ticas.
					</div></li><li class="listitem"><div class="para">
						Kerberos es una herramienta de tipo "todo o nada". Si Kerberos es utilizado en la red, cualquier contraseÃ±a no encriptada transferida a un servicio no compatible con Kerberos (o no Kerberizado), se encuentra en riesgo. Por lo tanto, la red no obtiene beneficio alguno al utilizarlo. Para asegurar una red con Kerberos, se debe utilizar versiones kerberizadas de <span class="emphasis"><em>todas</em></span> las aplicaciones de tipo servidor/cliente que transmitan contraseÃ±as no encriptadas, o que no utilicen <span class="emphasis"><em>ninguna</em></span> de este tipo de aplicaciones.
					</div></li></ul></div></div></div><div class="footnotes"><br/><hr/><div class="footnote"><p><sup>[<a id="ftn.d0e7540" href="#d0e7540" class="para">14</a>] </sup>
				Un sistema donde tanto el cliente como el servidor comparten una clave comÃºn que es utilizada para encriptar y desencriptar comunicaciones a travÃ©s de una red.
			</p></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Related_Books.html"><strong>Anterior</strong>2.5.5.3. Libros relacionados</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Kerberos_Terminology.html"><strong>Siguiente</strong>2.6.2. TerminologÃa de Kerberos</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-LUKS_Disk_Encryption-Links_of_Interest.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.7.5. Enlaces de interÃ©s</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-LUKS_Disk_Encryption.html" title="3.7. EncriptaciÃ³n de disco LUKS (Linux Unified Key Setup-on-disk-format)"/><link rel="prev" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-What_you_have_just_accomplished.html" title="3.7.4. Lo que acaba de realizar"/><link rel="next" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html" title="3.8. Archivos Encriptados 7-Zip"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="righ
 t" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-What_you_have_just_accomplished.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="3.7.5. Enlaces de interÃ©s"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-LUKS_Disk_Encryption-Links_of_Interest">3.7.5. Enlaces de interÃ©s</h3></div></div></div><div class="para">
			Para informaciÃ³n adicional sobre LUKS, o encriptaciÃ³n de discos duros bajo Fedora, por favor visite alguno de los siguientes enlaces:
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					<a href="http://clemens.endorphin.org/LUKS/">LUKS - ConfiguraciÃ³n de Clave Unificada de Linux (Linux Unified Key Setup) </a>
				</div></li><li class="listitem"><div class="para">
					<a href="https://bugzilla.redhat.com/attachment.cgi?id=161912">Tuturial: CÃ³mo crear un volÃºmen fÃsico encriptado usando un segundo disco duro, pvmove y un CD Vivo de Fedora</a>
				</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-What_you_have_just_accomplished.html"><strong>Anterior</strong>3.7.4. Lo que acaba de realizar</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html"><strong>Siguiente</strong>3.8. Archivos Encriptados 7-Zip</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-Step_by_Step_Instructions.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.7.3. Instrucciones paso a paso</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-LUKS_Disk_Encryption.html" title="3.7. EncriptaciÃ³n de disco LUKS (Linux Unified Key Setup-on-disk-format)"/><link rel="prev" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories.html" title="3.7.2. EncriptaciÃ³n manual de directorios"/><link rel="next" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-What_you_have_just_accomplished.html" title="3.7.4. Lo que acaba de realizar"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt=
 "Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-What_you_have_just_accomplished.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="3.7.3. Instrucciones paso a paso"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-Step_by_Step_Instructions">3.7.3. Instrucciones paso a paso</h3></div></div></div><div class="orderedlist"><ol><li class="listitem"><div class="para">
					Ingrese a nivel de ejecuciÃ³n 1: <code class="code">telinit 1</code>
				</div></li><li class="listitem"><div class="para">
					Desmonte su /home actual: <code class="code"> umount /home</code>
				</div></li><li class="listitem"><div class="para">
					Si falla, use <code class="code">fuser</code> para identificar y eliminar los procesos que retienen a /home: <code class="code">fuser -mvk /home</code>
				</div></li><li class="listitem"><div class="para">
					Verifique que /home ya no estÃ© montado: <code class="code">cat /proc/mounts | grep home</code>
				</div></li><li class="listitem"><div class="para">
					Llene su particiÃ³n con datos al azar: <code class="code">dd if=/dev/urandom of=/dev/VG00/LV_home</code>. Este proceso necesita de muchas horas para completarse.
				</div><div class="important"><h2>Importante</h2><div class="para">
						El proceso, sin embargo, es fundamental para obtener una buena protecciÃ³n contra los intentos de descifrado. SÃ³lo dÃ©jelo correr toda la noche.
					</div></div></li><li class="listitem"><div class="para">
					Inicie su particiÃ³n: <code class="code">cryptsetup --verbose --verify-passphrase luksFormat /dev/VG00/LV_home</code>
				</div></li><li class="listitem"><div class="para">
					Abra el dispositivo nuevo encriptado: <code class="code">cryptsetup luksOpen /dev/VG00/LV_home home</code>
				</div></li><li class="listitem"><div class="para">
					Verifique que se encuentre presente: <code class="code">ls -l /dev/mapper | grep home</code>
				</div></li><li class="listitem"><div class="para">
					Genere un sistema de archivos: <code class="code">mkfs.ext3 /dev/mapper/home</code>
				</div></li><li class="listitem"><div class="para">
					MÃ³ntelo: <code class="code">mount /dev/mapper/home /home</code>
				</div></li><li class="listitem"><div class="para">
					Verifique que sea visible: <code class="code">df -h | grep home</code>
				</div></li><li class="listitem"><div class="para">
					Agregue lo siguiente a /etc/crypttab: <code class="code">home /dev/VG00/LV_home none</code>
				</div></li><li class="listitem"><div class="para">
					Edite su /etc/fstab, elimine la antigua entrada de /home, y agregue <code class="code">/dev/mapper/home /home ext3 defaults 1 2</code>
				</div></li><li class="listitem"><div class="para">
					Verifique su entrada fstab: <code class="code">mount /home</code>
				</div></li><li class="listitem"><div class="para">
					Restaure los contextos de seguridad de SELinux: <code class="code">/sbin/restorecon -v -R /home</code>
				</div></li><li class="listitem"><div class="para">
					Reinicie: <code class="code">shutdown -r now</code>
				</div></li><li class="listitem"><div class="para">
					La entrada en /etc/crypttab hace que su computadora le pida su frase de acceso <code class="code">luks</code> al arrancar
				</div></li><li class="listitem"><div class="para">
					Ingrese como root y restaure su respaldo
				</div></li></ol></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories.html"><strong>Anterior</strong>3.7.2. EncriptaciÃ³n manual de directorios</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-What_you_have_just_accomplished.html"><strong>Siguiente</strong>3.7.4. Lo que acaba de realizar</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-What_you_have_just_accomplished.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.7.4. Lo que acaba de realizar</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-LUKS_Disk_Encryption.html" title="3.7. EncriptaciÃ³n de disco LUKS (Linux Unified Key Setup-on-disk-format)"/><link rel="prev" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-Step_by_Step_Instructions.html" title="3.7.3. Instrucciones paso a paso"/><link rel="next" href="sect-Security_Guide-LUKS_Disk_Encryption-Links_of_Interest.html" title="3.7.5. Enlaces de interÃ©s"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right"
  href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-Step_by_Step_Instructions.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-LUKS_Disk_Encryption-Links_of_Interest.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="3.7.4. Lo que acaba de realizar"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-What_you_have_just_accomplished">3.7.4. Lo que acaba de realizar</h3></div></div></div><div class="para">
			Felicitaciones, ahora tiene una particiÃ³n encriptada para que todos sus datos reposen en forma segura cuando su equipo se encuentre apagado.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-Step_by_Step_Instructions.html"><strong>Anterior</strong>3.7.3. Instrucciones paso a paso</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-LUKS_Disk_Encryption-Links_of_Interest.html"><strong>Siguiente</strong>3.7.5. Enlaces de interÃ©s</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.7.2. EncriptaciÃ³n manual de directorios</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-LUKS_Disk_Encryption.html" title="3.7. EncriptaciÃ³n de disco LUKS (Linux Unified Key Setup-on-disk-format)"/><link rel="prev" href="sect-Security_Guide-LUKS_Disk_Encryption.html" title="3.7. EncriptaciÃ³n de disco LUKS (Linux Unified Key Setup-on-disk-format)"/><link rel="next" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-Step_by_Step_Instructions.html" title="3.7.3. Instrucciones paso a paso"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" 
 alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-LUKS_Disk_Encryption.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-Step_by_Step_Instructions.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="3.7.2. EncriptaciÃ³n manual de directorios"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories">3.7.2. EncriptaciÃ³n manual de directorios</h3></div></div></div><div class="warning"><h2>Advertencia</h2><div class="para">
				Al seguir este procedimiento se eliminarÃ¡n todos los datos de la particiÃ³n que estÃ¡ encriptando. Â¡PerderÃ¡ toda la informaciÃ³n! Â¡AsegÃºrese de hacer un respaldo de sus datos en una fuente externa antes de comenzar!
			</div></div><div class="para">
			Si estÃ¡ corriendo una versiÃ³n de Fedora anterior a la 9 y quiere encriptar una particiÃ³n, o si quiere encriptar una particiÃ³n despuÃ©s de la instalaciÃ³n de la versiÃ³n actual de Fedora, las siguientes instrucciones son para Ud. El ejemplo que ofrecemos mÃ¡s abajo muestra la encriptaciÃ³n de una particiÃ³n /home pero puede utilizarse sobre cualquier particiÃ³n.
		</div><div class="para">
			El siguiente procedimiento borrarÃ¡ todos los datos existentes, de modo que es conveniente asegurarse de haber hecho un respaldo antes de comenzar. TambiÃ©n es necesario tener una particiÃ³n separada para /home (en nuestro caso es /dev/VG00/LV_home). Todo lo que se muestra a continuaciÃ³n debe ser realizado como usuario root. Cualquiera de las etapas en este mÃ©todo no puede realizarse a no ser que la anterior haya sido exitosa.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-LUKS_Disk_Encryption.html"><strong>Anterior</strong>3.7. EncriptaciÃ³n de disco LUKS (Linux Unified Ke...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-Step_by_Step_Instructions.html"><strong>Siguiente</strong>3.7.3. Instrucciones paso a paso</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-LUKS_Disk_Encryption.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.7. EncriptaciÃ³n de disco LUKS (Linux Unified Key Setup-on-disk-format)</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Encryption.html" title="CapÃtulo 3. EncriptaciÃ³n"/><link rel="prev" href="Security_Guide-Encryption-Data_in_Motion-Secure_Shell.html" title="3.6. Shell seguro (SSH, por las iniciales en inglÃ©s de Secure Shell)"/><link rel="next" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories.html" title="3.7.2. EncriptaciÃ³n manual de directorios"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class=
 "right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="Security_Guide-Encryption-Data_in_Motion-Secure_Shell.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="section" title="3.7. EncriptaciÃ³n de disco LUKS (Linux Unified Key Setup-on-disk-format)"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-LUKS_Disk_Encryption">3.7. EncriptaciÃ³n de disco LUKS (Linux Unified Key Setup-on-disk-format)</h2></div></div></div><div class="para">
		La ConfiguraciÃ³n de Clave Unificada de Linux en el formato de disco (o LUKS por sus iniciales en inglÃ©s) le permite encriptar particiones en su computadora Linux. Esto es particularmente importante cuando se trata de computadores mÃ³viles y de medios removibles. LUKS le permite claves mÃºltiples de usuario para desencriptar una clave maestra que se usa para la encriptaciÃ³n de la particiÃ³n.
	</div><div class="section" title="3.7.1. ImplementaciÃ³n de LUKS en Fedora"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-LUKS_Disk_Encryption-LUKS_Implementation_in_Fedora">3.7.1. ImplementaciÃ³n de LUKS en Fedora</h3></div></div></div><div class="para">
			Fedora 9 y sus versiones posteriores utilizan LUKS para realizar el encriptado del sistema. Por defecto, la opciÃ³n para encriptar el sistema de archivos se encuentra destildada en la instalaciÃ³n. Si selecciona la opciÃ³n de encriptado de su disco rÃgido, le serÃ¡ pedida una frase de acceso que deberÃ¡ ingresar cada vez que inicie su computadora. Esta frase de acceso "libera" la llave del encriptado que serÃ¡ utilizada para decriptar su particiÃ³n. Si elige modificar la tabla de particionamiento establecida por defecto, puede entonces elegir quÃ© particiones desea encriptar. Esto estÃ¡ definido en la configuraciÃ³n de la tabla de particionamiento.
		</div><div class="para">
			La implementaciÃ³n de LUKS por defecto de Fedora es AES 128 con un hashing SHA256. Los cifradores disponibles son:
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					AES - Advanced Encryption Standard - <a href="http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf">FIPS PUB 197</a>
				</div></li><li class="listitem"><div class="para">
					Twofish (A 128-bit Block Cipher)
				</div></li><li class="listitem"><div class="para">
					Serpent
				</div></li><li class="listitem"><div class="para">
					cast5 - <a href="http://www.ietf.org/rfc/rfc2144.txt">RFC 2144</a>
				</div></li><li class="listitem"><div class="para">
					cast6 - <a href="http://www.ietf.org/rfc/rfc2612.txt">RFC 2612</a>
				</div></li></ul></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="Security_Guide-Encryption-Data_in_Motion-Secure_Shell.html"><strong>Anterior</strong>3.6. Shell seguro (SSH, por las iniciales en ingl...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories.html"><strong>Siguiente</strong>3.7.2. EncriptaciÃ³n manual de directorios</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Option_Fields-Access_Control.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.2.2.2. Control de acceso</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html" title="2.5.2.2. Campos de opciÃ³n"/><link rel="prev" href="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html" title="2.5.2.2. Campos de opciÃ³n"/><link rel="next" href="sect-Security_Guide-Option_Fields-Shell_Commands.html" title="2.5.2.2.3. Comandos de la consola"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/im
 ages/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Option_Fields-Shell_Commands.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.5.2.2.2. Control de acceso"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Option_Fields-Access_Control">2.5.2.2.2. Control de acceso</h5></div></div></div><div class="para">
					Los campos de opciÃ³n tambiÃ©n le permiten a los administradores permitir o negar explÃcitamente equipos mediante una sola regla, aÃ±adiÃ©ndole la directiva <code class="option">allow</code> o <code class="option">deny</code> como la opciÃ³n final.
				</div><div class="para">
					Por ejemplo, las dos reglas siguientes permiten conexions SSH desde <code class="systemitem">client-1.example.com</code>, pero niegan conexiones de <code class="systemitem">client-2.example.com</code>:
				</div><pre class="screen">sshd : client-1.example.com : allow
sshd : client-2.example.com : deny
</pre><div class="para">
					Al permitir control de acceso sobre un fundamento de reglas, el campo de opciÃ³n permite que los administradores consoliden todas los reglas de acceso en un solo archivo: o bien <code class="filename">hosts.allow</code>, o bien <code class="filename">hosts.deny</code>. Algunos administradores consideran a esto como una forma sencilla de organizar las reglas de acceso.
				</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html"><strong>Anterior</strong>2.5.2.2. Campos de opciÃ³n</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Option_Fields-Shell_Commands.html"><strong>Siguiente</strong>2.5.2.2.3. Comandos de la consola</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Option_Fields-Expansions.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.2.2.4. Expansiones</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html" title="2.5.2.2. Campos de opciÃ³n"/><link rel="prev" href="sect-Security_Guide-Option_Fields-Shell_Commands.html" title="2.5.2.2.3. Comandos de la consola"/><link rel="next" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd.html" title="2.5.3. xinetd"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Document
 ation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Option_Fields-Shell_Commands.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.5.2.2.4. Expansiones"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Option_Fields-Expansions">2.5.2.2.4. Expansiones</h5></div></div></div><div class="para">
					Cuando se utilizan junto a las directivas <code class="command">spawn</code> y <code class="command">twist</code>, las expansiones proveen informaciÃ³n acerca del cliente, servidor, y los procesos involucrados.
				</div><div class="para">
					La siguiente es una lista de expansiones soportadas:
				</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
							<code class="option">%a</code> â€” Informa la direcciÃ³n IP del cliente.
						</div></li><li class="listitem"><div class="para">
							<code class="option">%A</code> â€” Informa la direcciÃ³n IP del servidor.
						</div></li><li class="listitem"><div class="para">
							<code class="option">%c</code> â€” Informa una gran cantidad de datos del cliente, como ser por ejemplo, el nombre de usuario y el nombre del equipo, o el nombre de usuario y la direcciÃ³n IP.
						</div></li><li class="listitem"><div class="para">
							<code class="option">%d</code> â€” Informa el nombre del demonio encargado del proceso.
						</div></li><li class="listitem"><div class="para">
							<code class="option">%h</code> â€” Informa el nombre del equipo del cliente (o la direcciÃ³n IP, si es que el nombre del equipo no estÃ¡ disponible).
						</div></li><li class="listitem"><div class="para">
							<code class="option">%H</code> â€” Informa el nombre del equipo del servidor (o su direcciÃ³n IP, en caso que el nombre no estÃ© disponible).
						</div></li><li class="listitem"><div class="para">
							<code class="option">%n</code> â€” Informa el nombre del equipo cliente. Si no estÃ¡ disponible, se muestra <code class="computeroutput">unknown</code>. Si el nombre del equipo y la direcciÃ³n del cliente no concuerdan, se muestra <code class="computeroutput">paranoid</code>.
						</div></li><li class="listitem"><div class="para">
							<code class="option">%N</code> â€” Informa el nombre del equipo del servidor. Si no estÃ¡ disponible, se muestra <code class="computeroutput">unknown</code>. Si el nombre del equipo del servidor y la direcciÃ³n no concuerdan, se muestra <code class="computeroutput">paranoid</code>.
						</div></li><li class="listitem"><div class="para">
							<code class="option">%p</code> â€” Informa el ID del proceso del demonio.
						</div></li><li class="listitem"><div class="para">
							<code class="option">%s</code> â€” Informa diferentes tipos de datos acerca del servidor, como ser por ejemplo, si el proceso del demonio y la direcciÃ³n del equipo o direcciÃ³n IP del servidor.
						</div></li><li class="listitem"><div class="para">
							<code class="option">%u</code> â€” Informa el nombre de usuario del cliente. Si no estÃ¡ disponible, se muestra <code class="computeroutput">unknown</code>.
						</div></li></ul></div><div class="para">
					La siguiente regla de ejemplo utiliza una expansiÃ³n junto con el comando <code class="command">spawn</code> para identificar el equipo del cliente en un archivo de registro modificado.
				</div><div class="para">
					Cuando se intenten establecer conexiones al demonio SSH (<code class="systemitem">sshd</code>) desde un equipo del dominio <code class="systemitem">ejemplo.com</code>, ejecute el comando <code class="command">echo</code> para registrar el intento en un archivo especial, incluyendo el nombre del cliente (utilizando la expanciÃ³n <code class="option">%h</code>).
				</div><pre class="screen">sshd : .ejemplo.com  \
        : spawn /bin/echo `/bin/date` access denied to %h>>/var/log/sshd.log \
        : deny
</pre><div class="para">
					De manera similar, las expansiones pueden ser utilizadas para personalizar mensajes enviados al cliente. En el siguiente ejemplo, a los clientes que intentan acceder a servicios FTP desde el dominio <code class="systemitem">ejemplo.com</code>, se les informa que han sido eliminados del servidor:
				</div><pre class="screen">vsftpd : .ejemplo.com \
: twist /bin/echo "421 %h has been banned from this server!"
</pre><div class="para">
					Para obtener una explicaciÃ³n completa de las expansiones disponibles, y al mismo tiempo conocer opciones adicionales de control de acceso, vea la secciÃ³n 5 de las pÃ¡ginas man de <code class="filename">hosts_access</code> (<code class="command">man 5 hosts_access</code>), y la pÃ¡gina man de <code class="filename">hosts_options</code>.
				</div><div class="para">
					Para obtener mayor informaciÃ³n acerca de los encapsuladores TCP, vea la <a class="xref" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html" title="2.5.5. Recursos adicionales">SecciÃ³nÂ 2.5.5, â€œRecursos adicionalesâ€</a>.
				</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Option_Fields-Shell_Commands.html"><strong>Anterior</strong>2.5.2.2.3. Comandos de la consola</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd.html"><strong>Siguiente</strong>2.5.3. xinetd</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Option_Fields-Shell_Commands.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.2.2.3. Comandos de la consola</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html" title="2.5.2.2. Campos de opciÃ³n"/><link rel="prev" href="sect-Security_Guide-Option_Fields-Access_Control.html" title="2.5.2.2.2. Control de acceso"/><link rel="next" href="sect-Security_Guide-Option_Fields-Expansions.html" title="2.5.2.2.4. Expansiones"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt=
 "Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Option_Fields-Access_Control.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Option_Fields-Expansions.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.5.2.2.3. Comandos de la consola"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Option_Fields-Shell_Commands">2.5.2.2.3. Comandos de la consola</h5></div></div></div><div class="para">
					Los campos de opciÃ³n permiten reglas de acceso para iniciar comandos de consola mediante las dos directivas siguientes:
				</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
							<code class="command">spawn</code> â€” Inicia un comando de terminal como un proceso hijo. Esta directiva puede realizar tareas como ser la utilizaciÃ³n de <code class="command">/usr/sbin/safe_finger</code> para obtener mayor informaciÃ³n acerca del cliente que estÃ¡ realizando una determinada peticiÃ³n, o crear archivos de registro especiales mediante la utilizaciÃ³n del comando <code class="command">echo</code>.
						</div><div class="para">
							En el siguiente ejemplo, los clientes del dominio <code class="systemitem">ejemplo.com</code> que intentan acceder a servicios Telnet, son registrados silenciosamente en un archivo especial:
						</div><pre class="screen">in.telnetd : .ejemplo.com \
        : spawn /bin/echo `/bin/date` from %h>>/var/log/telnet.log \
        : allow
</pre></li><li class="listitem"><div class="para">
							<code class="command">twist</code> â€” Reemplaza el servicio solicitado con el comando indicado. Esta directiva es a menudo utilizada para establecer trampas a los intrusos (tambiÃ©n denominadas "tacitas de miel"). Puede tambiÃ©n ser utilizada para enviar mensajes a los cllientes que estÃ©n conectÃ¡ndose. La directiva <code class="command">twist</code> debe tener lugar al final de la lÃnea de la regla.
						</div><div class="para">
							En el ejemplo siguiente, a los clientes que intentan acceder a los servicios FTP desde el dominio <code class="systemitem">ejemplo.com</code>, se les envÃa un mensaje utilizando el comando <code class="command">echo</code>.
						</div><pre class="screen">vsftpd : .ejemplo.com \
        : twist /bin/echo "421 This domain has been black-listed. Access denied!"
</pre></li></ul></div><div class="para">
					Para obtener mayor informaciÃ³n acerca de las opciones de comandos de terminal, vea la pÃ¡gina man de <code class="filename">hosts_options</code>.
				</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Option_Fields-Access_Control.html"><strong>Anterior</strong>2.5.2.2.2. Control de acceso</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Option_Fields-Expansions.html"><strong>Siguiente</strong>2.5.2.2.4. Expansiones</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-PAM_Configuration_File_Format-Control_Flag.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.3.2. Bandera de control</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html" title="2.4.3. Formato del archivo de configuraciÃ³n de PAM"/><link rel="prev" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html" title="2.4.3. Formato del archivo de configuraciÃ³n de PAM"/><link rel="next" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Name.html" title="2.4.3.3. Nombre de mÃ³dulo"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Produ
 ct Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Name.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.4.3.2. Bandera de control"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-PAM_Configuration_File_Format-Control_Flag">2.4.3.2. Bandera de control</h4></div></div></div><div class="para">
				Todos los mÃ³dulos PAM generan un resultado de Ã©xito o fracaso cuando son llamados. Las banderas de control le dicen a PAM quÃ© hacer con el resultado. Los mÃ³dulos se pueden apilar en un orden particular, y las banderas de control determinan cuÃ¡n importante es el Ã©xito o el fracaso de un mÃ³dulo particular para el objetivo general de autenticaciÃ³n del usuario con el servicio.
			</div><div class="para">
				Hay cuatro banderas de control predefinidas:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<code class="command">required</code> â€” El resultado del mÃ³dulo debe ser exitoso para que pueda continuar la autenticaciÃ³n. Si la prueba falla en este punto, el usuario no se notifica hasta que se completan con los resultados de todas las pruebas de los mÃ³dulos que referencian a esa interfaz.
					</div></li><li class="listitem"><div class="para">
						<code class="command">requisite</code> â€” El resultado del mÃ³dulo debe ser exitoso para que continÃºe la autenticaciÃ³n. Sin embargo, si una prueba falla en este punto, el usuario se notifica inmediatamente con un mensaje que muestra el primer fallo del mÃ³dulo <code class="command">required</code> <span class="emphasis"><em>o</em></span> <code class="command">requisite</code>.
					</div></li><li class="listitem"><div class="para">
						<code class="command">sufficient</code> â€” El resultado del mÃ³dulo es ignorado si falla. Sin embargo, si el resultado de un mÃ³dulo marcado con bandera <code class="command">sufficient</code> tiene Ã©xito <span class="emphasis"><em>y</em></span> no hay mÃ³dulos previos marcados con <code class="command">required</code> que hayan fallado, entonces no se necesitan otros resultados y el usuario es autenticado con el servicio.
					</div></li><li class="listitem"><div class="para">
						<code class="command">optional</code> â€” El resultado del mÃ³dulo se ignora. Un mÃ³dulo marcado como <code class="command">optional</code> sÃ³lo se vuelve necesario para una autenticaciÃ³n exitosa cuando no hay otros mÃ³dulos referenciados en la interfaz.
					</div></li></ul></div><div class="important"><h2>Importante</h2><div class="para">
					El orden en el que los mÃ³dulos <code class="command">required</code> se llaman no es crÃtico. SÃ³lo las banderas <code class="command">sufficient</code> y <code class="command">requisite</code> hacen que el orden se haga importante.
				</div></div><div class="para">
				Existe disponible Ã¡ra PAM una nueva sintaxis de bandera de control, que permite un control mÃ¡s preciso.
			</div><div class="para">
				La pÃ¡gina man <code class="command">pam.d</code>, y la documentaciÃ³n de PAM, ubicada en el directorio <code class="filename">/usr/share/doc/pam-<em class="replaceable"><code><version-number></code></em>/</code>, donde <em class="replaceable"><code><version-number></code></em> es el nÃºmero de versiÃ³n PAM en su sistema, explica esta nueva sintaxis en detalle.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html"><strong>Anterior</strong>2.4.3. Formato del archivo de configuraciÃ³n de PAM</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Name.html"><strong>Siguiente</strong>2.4.3.3. Nombre de mÃ³dulo</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-PAM_Configuration_File_Format-Module_Arguments.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.3.4. Argumentos del mÃ³dulo</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html" title="2.4.3. Formato del archivo de configuraciÃ³n de PAM"/><link rel="prev" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Name.html" title="2.4.3.3. Nombre de mÃ³dulo"/><link rel="next" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Sample_PAM_Configuration_Files.html" title="2.4.4. Ejemplos de archivos de configuraciÃ³n de PAM"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt=
 "Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Name.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Sample_PAM_Configuration_Files.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.4.3.4. Argumentos del mÃ³dulo"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-PAM_Configuration_File_Format-Module_Arguments">2.4.3.4. Argumentos del mÃ³dulo</h4></div></div></div><div class="para">
				Para algunos mÃ³dulos, PAM utiliza <em class="firstterm">argumentos</em> para pasar informaciÃ³n a un mÃ³dulo conectable durante la autenticaciÃ³n.
			</div><div class="para">
				Por ejemplo, el mÃ³dulo <code class="filename">pam_userdb.so</code> utiliza informaciÃ³n almacenada en un archivo de base de datos Berkeley para autenticar al usuario. Berkeley es una base de datos de cÃ³digo abierto que se encuentra en muchas otras aplicaciones. El mÃ³dulo toma un argumento <code class="filename">db</code> de modo que Berkeley sepa quÃ© base de datos utilizar para el servicio solicitado.
			</div><div class="para">
				La siguiente es una lÃnea tÃpica <code class="filename">pam_userdb.so</code> en una configuraciÃ³n de PAM. El <em class="replaceable"><code><direccion-del-archivo></code></em> es la direcciÃ³n completa del archivo base de datos DB de Berkeley:
			</div><pre class="screen">auth        required        pam_userdb.so db=<em class="replaceable"><code><direccion-del-archivo></code></em>
</pre><div class="para">
				Los argumentos invÃ¡lidos <span class="emphasis"><em>generalmente</em></span> son ignorados y de esta manera no afectan ni el Ã©xito ni el fracaso del mÃ³dulo PAM. Algunos mÃ³dulos, sin embargo, pueden fracasar con argumentos invÃ¡lidos. La mayorÃa de los mÃ³dulos reportan sus errores en el archivo <code class="filename">/var/log/secure</code>.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Name.html"><strong>Anterior</strong>2.4.3.3. Nombre de mÃ³dulo</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Sample_PAM_Configuration_Files.html"><strong>Siguiente</strong>2.4.4. Ejemplos de archivos de configuraciÃ³n de P...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-PAM_Configuration_File_Format-Module_Name.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.3.3. Nombre de mÃ³dulo</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html" title="2.4.3. Formato del archivo de configuraciÃ³n de PAM"/><link rel="prev" href="sect-Security_Guide-PAM_Configuration_File_Format-Control_Flag.html" title="2.4.3.2. Bandera de control"/><link rel="next" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Arguments.html" title="2.4.3.4. Argumentos del mÃ³dulo"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="ht
 tp://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-PAM_Configuration_File_Format-Control_Flag.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Arguments.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.4.3.3. Nombre de mÃ³dulo"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-PAM_Configuration_File_Format-Module_Name">2.4.3.3. Nombre de mÃ³dulo</h4></div></div></div><div class="para">
				El nombre del mÃ³dulo ofrece a PAM el nombre del mÃ³dulo conectable que contiene la interfaz del mÃ³dulo especificada. En versiones anteriores de Fedora la direcciÃ³n completa al mÃ³dulo era provista en el archivo de configuraciÃ³n de PAM. Sin embargo, desde la apariciÃ³n de los sistemas <em class="firstterm">multilib</em>, que almacenan modulos PAM de 64-bit en el directorio <code class="filename">/lib64/security/</code>, el nombre del directorio es omitido dado que la aplicaciÃ³n estÃ¡ enlazada con la versiÃ³n correcta de <code class="filename">libpam</code>, que puede encontrar la versiÃ³n correcta del mÃ³dulo.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-PAM_Configuration_File_Format-Control_Flag.html"><strong>Anterior</strong>2.4.3.2. Bandera de control</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Arguments.html"><strong>Siguiente</strong>2.4.3.4. Argumentos del mÃ³dulo</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-PAM_and_Administrative_Credential_Caching-Common_pam_timestamp_Directives.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.6.2. Directivas comunes de pam_timestamp_check</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Administrative_Credential_Caching.html" title="2.4.6. PAM y el cacheo de la credencial administrativa"/><link rel="prev" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Administrative_Credential_Caching.html" title="2.4.6. PAM y el cacheo de la credencial administrativa"/><link rel="next" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership.html" title="2.4.7. PAM y la propiedad de los dispositivos"/></head><body class="draft "><p id="title"><a class="left" hr
 ef="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Administrative_Credential_Caching.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.4.6.2. Directivas comunes de pam_timestamp_check"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-PAM_and_Administrative_Credential_Caching-Common_pam_timestamp_Directives">2.4.6.2. Directivas comunes de pam_timestamp_check</h4></div></div></div><div class="para">
				El mÃ³dulo <code class="filename">pam_timestamp.so</code> acepta varias indicaciones. Las siguientes dos opciones son algunas de las mÃ¡s utilizadas:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<code class="command">timestamp_timeout</code> â€” Especifica el periodo (en segundos) durante el cual el archivo de registro de tiempo es vÃ¡lido. El valor establecido por defecto es 300 (cinco minutos).
					</div></li><li class="listitem"><div class="para">
						<code class="command">timestampdir</code> â€” Indica el directorio en donde el archivo de registro de tiempo serÃ¡ almacenado. El valor establecido por defecto es <code class="command">/var/run/sudo/</code>.
					</div></li></ul></div><div class="para">
				Vea la <a class="xref" href="sect-Security_Guide-Firewalls-Additional_Resources.html#sect-Security_Guide-Additional_Resources-Installed_Firewall_Documentation" title="2.8.9.1. DocumentaciÃ³n instalada del cortafuego">SecciÃ³nÂ 2.8.9.1, â€œDocumentaciÃ³n instalada del cortafuegoâ€</a> para obtener mayor informaciÃ³n acerca de la utilizaciÃ³n del mÃ³dulo <code class="filename">pam_timestamp.so</code>.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Administrative_Credential_Caching.html"><strong>Anterior</strong>2.4.6. PAM y el cacheo de la credencial administr...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership.html"><strong>Siguiente</strong>2.4.7. PAM y la propiedad de los dispositivos</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-PAM_and_Device_Ownership-Application_Access.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.7.2. Acceso a aplicaciones</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership.html" title="2.4.7. PAM y la propiedad de los dispositivos"/><link rel="prev" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership.html" title="2.4.7. PAM y la propiedad de los dispositivos"/><link rel="next" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources.html" title="2.4.8. Recursos adicionales"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product
  Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.4.7.2. Acceso a aplicaciones"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-PAM_and_Device_Ownership-Application_Access">2.4.7.2. Acceso a aplicaciones</h4></div></div></div><div class="para">
				El usuario de la consola tambiÃ©n tiene el acceso a ciertos programas configurados para usar el directorio <code class="filename">/etc/security/console.apps/</code>.
			</div><div class="para">
				Este directorio contiene los archivos de configuraciÃ³n que habilitan al usuario de la consola correr ciertas aplicaciones de <code class="filename">/sbin</code> y <code class="filename">/usr/sbin</code>.
			</div><div class="para">
				Estos archivos de configuraciÃ³n tienen el mismo nombre de las aplicaciones que configuran.
			</div><div class="para">
				Un grupo notable de aplicaciones a los que el usuario de consola tiene acceso son tres programas que apagan o reinician el sistema:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<code class="command">/sbin/halt</code>
					</div></li><li class="listitem"><div class="para">
						<code class="command">/sbin/reboot</code>
					</div></li><li class="listitem"><div class="para">
						<code class="command">/sbin/poweroff</code>
					</div></li></ul></div><div class="para">
				Debido a que estas aplicaciones utilizan PAM, llaman al mÃ³dulo <code class="filename">pam_console.so</code> como un requisito para usarlas.
			</div><div class="para">
				Vaya a la <a class="xref" href="sect-Security_Guide-Firewalls-Additional_Resources.html#sect-Security_Guide-Additional_Resources-Installed_Firewall_Documentation" title="2.8.9.1. DocumentaciÃ³n instalada del cortafuego">SecciÃ³nÂ 2.8.9.1, â€œDocumentaciÃ³n instalada del cortafuegoâ€</a> para mÃ¡s informaciÃ³n.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership.html"><strong>Anterior</strong>2.4.7. PAM y la propiedad de los dispositivos</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources.html"><strong>Siguiente</strong>2.4.8. Recursos adicionales</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.8. Recursos adicionales</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. MÃ³dulos de autenticaciÃ³n conectables (PAM, por las iniciales en inglÃ©s de Pluggable Authentication Modules)"/><link rel="prev" href="sect-Security_Guide-PAM_and_Device_Ownership-Application_Access.html" title="2.4.7.2. Acceso a aplicaciones"/><link rel="next" href="sect-Security_Guide-Additional_Resources-Useful_PAM_Websites.html" title="2.4.8.2. Sitios web Ãºtiles sobre PAM"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Produ
 ct Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-PAM_and_Device_Ownership-Application_Access.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Useful_PAM_Websites.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.4.8. Recursos adicionales"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources">2.4.8. Recursos adicionales</h3></div></div></div><div class="para">
			Los siguientes recursos explican mÃ¡s detalladamente los mÃ©todos para usar y configurar PAM. AdemÃ¡s de estos recursos, lea los archivos de configuraciÃ³n de PAM en el sistema para entender mejor cÃ³mo estÃ¡n estructurados.
		</div><div class="section" title="2.4.8.1. DocumentaciÃ³n de PAM instalada"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Installed_PAM_Documentation">2.4.8.1. DocumentaciÃ³n de PAM instalada</h4></div></div></div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						Las pÃ¡ginas man relacionadas con PAM â€” Hay varias pÃ¡ginas man para las distintas aplicaciones y archivos de configuraciÃ³n involucrados con PAM. La siguiente es un alista de alguna de las pÃ¡ginas man mÃ¡s importantes.
					</div><div class="variablelist"><dl><dt><span class="term">Archivos de configuraciÃ³n</span></dt><dd><div class="itemizedlist"><ul><li class="listitem"><div class="para">
											<code class="command">pam</code> â€” Buena informaciÃ³n de presentaciÃ³n de PAM, que incluye la estructura y propÃ³sito de los archivos de configuraciÃ³n de PAM.
										</div><div class="para">
											FÃjese que en esta pÃ¡gina man se hace referencia tanto al archivo <code class="filename">/etc/pam.conf</code> como a los archivos de configuraciÃ³n individuales del directorio <code class="filename">/etc/pam.d/</code>. Por defecto, Fedora utiliza los archivos de configuraciÃ³n individual del directorio, ignorando el archivo <code class="filename">/etc/pam.conf</code>, aÃºn si efectivamente existe.
										</div></li><li class="listitem"><div class="para">
											<code class="command">pam_console</code> â€” Describe el propÃ³sito del mÃ³dulo <code class="filename">pam_console.so</code>. TambiÃ©n describe la sintaxis apropiada para una entrada dentro del archivo de configuraciÃ³n de PAM.
										</div></li><li class="listitem"><div class="para">
											<code class="command">console.apps</code> â€” Describe el formato del archivo de configuraciÃ³n <code class="filename">/etc/security/console.apps</code>, que define quÃ© aplicaciones son accesibles por el usuario de consola asignado por PAM.
										</div></li><li class="listitem"><div class="para">
											<code class="command">console.perms</code> â€” Describe el formato del archivo de configuraciÃ³n <code class="filename">/etc/security/console.perms</code>, que especifica los permisos del usuario de consola asignados por PAM.
										</div></li><li class="listitem"><div class="para">
											<code class="command">pam_timestamp</code> â€” Describe el mÃ³dulo <code class="filename">pam_timestamp.so</code>.
										</div></li></ul></div></dd></dl></div></li><li class="listitem"><div class="para">
						<code class="filename">/usr/share/doc/pam-<em class="replaceable"><code><version-number></code></em></code> â€” Contiene una <em class="citetitle">GuÃa de administradores de sistema</em>, un <em class="citetitle">Manual para escritores de mÃ³dulos</em>, y el <em class="citetitle">Manual para desarrolladores de aplicaciÃ³n</em>, y al mismo tiempo, una copia del stÃ¡ndard PAM DCE-RFC 86.0, donde <em class="replaceable"><code><version-number></code></em> es el nÃºmero de la versiÃ³n de PAM.
					</div></li><li class="listitem"><div class="para">
						<code class="filename">/usr/share/doc/pam-<em class="replaceable"><code><version-number></code></em>/txts/README.pam_timestamp</code> â€” Contiene informaciÃ³n relacionada con el mÃ³dulo PAM <code class="filename">pam_timestamp.so</code>, donde <em class="replaceable"><code><version-number></code></em> es el nÃºmero de versiÃ³n de PAM.
					</div></li></ul></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-PAM_and_Device_Ownership-Application_Access.html"><strong>Anterior</strong>2.4.7.2. Acceso a aplicaciones</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Useful_PAM_Websites.html"><strong>Siguiente</strong>2.4.8.2. Sitios web Ãºtiles sobre PAM</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Creating_PAM_Modules.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.5. CreaciÃ³n de los mÃ³dulos PAM</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. MÃ³dulos de autenticaciÃ³n conectables (PAM, por las iniciales en inglÃ©s de Pluggable Authentication Modules)"/><link rel="prev" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Sample_PAM_Configuration_Files.html" title="2.4.4. Ejemplos de archivos de configuraciÃ³n de PAM"/><link rel="next" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Administrative_Credential_Caching.html" title="2.4.6. PAM y el cacheo de la credencial administrativa"/></head><body class="draft "><p id="title">
 <a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Sample_PAM_Configuration_Files.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Administrative_Credential_Caching.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.4.5. CreaciÃ³n de los mÃ³dulos PAM"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Creating_PAM_Modules">2.4.5. CreaciÃ³n de los mÃ³dulos PAM</h3></div></div></div><div class="para">
			Puede crear o aÃ±adir en cualquier momento nuevos mÃ³dulos PAM, para utilizarlos con cualquier aplicaciÃ³n con tengan este soporte.
		</div><div class="para">
			Por ejemplo, un desarrollador puede crear un mÃ©todo para generar contraseÃ±as que sean utilizadas sÃ³lo una vez, y escribir un mÃ³dulo PAM que pueda soportarlo. Los programas que tengan soporte para PAM podrÃ¡n utilizar inmediatamente este mÃ³dulo, y el mÃ©todo de contraseÃ±a, sin por ello tener que ser recompilados o modificados en alguna manera.
		</div><div class="para">
			Esto permite a los desarrolladores y a los administradores de sistema mezclar, y al mismo tiempo verificar, diferentes mÃ©todos de autenticaciÃ³n para diferentes programas sin necesidad de recompilarlos.
		</div><div class="para">
			Se ha incluido documentaciÃ³n para escribir mÃ³dulos en el directorio <code class="filename">/usr/share/doc/pam-<em class="replaceable"><code><version-number></code></em>/</code>, donde <em class="replaceable"><code><version-number></code></em> es el nÃºmero de versiÃ³n PAM de su sistema.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Sample_PAM_Configuration_Files.html"><strong>Anterior</strong>2.4.4. Ejemplos de archivos de configuraciÃ³n de P...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Administrative_Credential_Caching.html"><strong>Siguiente</strong>2.4.6. PAM y el cacheo de la credencial administr...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.3. Formato del archivo de configuraciÃ³n de PAM</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. MÃ³dulos de autenticaciÃ³n conectables (PAM, por las iniciales en inglÃ©s de Pluggable Authentication Modules)"/><link rel="prev" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_Files.html" title="2.4.2. Archivos de configuraciÃ³n de PAM"/><link rel="next" href="sect-Security_Guide-PAM_Configuration_File_Format-Control_Flag.html" title="2.4.3.2. Bandera de control"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Commo
 n_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_Files.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-PAM_Configuration_File_Format-Control_Flag.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.4.3. Formato del archivo de configuraciÃ³n de PAM"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format">2.4.3. Formato del archivo de configuraciÃ³n de PAM</h3></div></div></div><div class="para">
			Cada archivo de configuraciÃ³n PAM contiene un grupo de directivas formateadas como sigue:
		</div><pre class="screen"><em class="replaceable"><code><interfase del mÃ³dulo></code></em>  <em class="replaceable"><code><bandera de control></code></em>   <em class="replaceable"><code><nombre de mÃ³dulo></code></em>   <em class="replaceable"><code><argumentos del mÃ³dulo></code></em>
</pre><div class="para">
			Cada uno de estos elementos se explica en las secciones siguientes.
		</div><div class="section" title="2.4.3.1. Interfaz del MÃ³dulo"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-PAM_Configuration_File_Format-Module_Interface">2.4.3.1. Interfaz del MÃ³dulo</h4></div></div></div><div class="para">
				Hay disponibles cuatro tipos de interfases de mÃ³dulos PAM. Cada uno corresponde a distintos aspectos del proceso de autorizaciÃ³n:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<code class="command">auth</code> â€” Esta interfaz de mÃ³dulo autentica el uso. Por ejemplo, pide y verifica la validez de una contraseÃ±a. Los mÃ³dulos con esta interfaz tambiÃ©n pueden poner credenciales, como membresÃas de grupo o tickets Kerberos.
					</div></li><li class="listitem"><div class="para">
						<code class="command">account</code> â€” Esta interfaz de mÃ³dulo verifica que el acceso estÃ© permitido. Por ejemplo, puede chequear si una cuenta a vencido o si un usuario puede ingresar en una hora particular del dÃa.
					</div></li><li class="listitem"><div class="para">
						<code class="command">password</code> â€” Esta interfaz de mÃ³dulo se usa para cambiar contraseÃ±as del usuario.
					</div></li><li class="listitem"><div class="para">
						<code class="command">session</code> â€” Esta interfaz de mÃ³dulo configura y administra sesiones del usuario. Los mÃ³dulos con esta interfaz pueden tambiÃ©n permitir tareas adicionales que necesitan permitir accesos, tales como el montaje del directorio de inicio del usuario y poner disponible la casilla de correo del usuario.
					</div></li></ul></div><div class="note"><h2>Nota</h2><div class="para">
					Un mÃ³dulo individual puede proveer cualquiera o todas las interfases de mÃ³dulo. Por ejemplo <code class="filename">pam_unix.so</code> provee las cuatro interfaces de mÃ³dulo.
				</div></div><div class="para">
				En un archivo de configuraciÃ³n PAM, la interfaz de mÃ³dulo es el primer campo definido. Por ejemplo, una lÃnea tÃpica en una configuraciÃ³n puede verse como sigue:
			</div><pre class="screen">auth        required        pam_unix.so
</pre><div class="para">
				Esto instruye a PAM a que use la interfase <code class="command">auth</code> del mÃ³dulo <code class="filename">pam_unix.so</code>.
			</div><div class="section" title="2.4.3.1.1. Interfases de mÃ³dulos apilables"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Module_Interface-Stacking_Module_Interfaces">2.4.3.1.1. Interfases de mÃ³dulos apilables</h5></div></div></div><div class="para">
					Las directivas de la interfaz modular pueden ser <span class="emphasis"><em>apiladas</em></span>, o colocadas unas sobre otras, de modo que varios mÃ³dulos puedan ser utilizados al mismo tiempo para el mismo propÃ³sito. Si la marca de control de un mÃ³dulo utiliza el valor "sufficient" o "requisite" (vea la <a class="xref" href="sect-Security_Guide-PAM_Configuration_File_Format-Control_Flag.html" title="2.4.3.2. Bandera de control">SecciÃ³nÂ 2.4.3.2, â€œBandera de controlâ€</a> para obtener mayor informaciÃ³n acerca de estas marcas), entonces el orden en que los modulos sean listados, serÃ¡ importante para el proceso de autenticaciÃ³n.
				</div><div class="para">
					El apilado hace fÃ¡cil para un administrador pedir que se den ciertas condiciones especÃficas antes de permitir al usuario autenticar. Por ejemplo, el comando <code class="command">reboot</code> normalmente usa varios mÃ³dulos apilados, como se ve en su archivo de configuraciÃ³n PAM:
				</div><pre class="screen">[root at MiServidor ~]# cat /etc/pam.d/reboot
#%PAM-1.0
auth        sufficient        pam_rootok.so
auth        required        pam_console.so
#auth        include        system-auth
account        required        pam_permit.so
</pre><div class="itemizedlist"><ul><li class="listitem"><div class="para">
							La primera lÃnea es un comentario y no se procesa.
						</div></li><li class="listitem"><div class="para">
							<code class="command">auth sufficient pam_rootok.so</code> â€” Esta lÃnea usa el mÃ³dulo <code class="filename">pam_rootok.so</code> para verificaar si el usuario actual es root, confirmandoo que su UID sea 0. Si esto tiene Ã©xito, no se consulta ningÃºn otro mÃ³dulo y el comando se ejecuta. Si esto falla, se consulta el mÃ³dulo siguiente.
						</div></li><li class="listitem"><div class="para">
							<code class="command">auth required pam_console.so</code> â€” Esta lÃnea utiliza el mÃ³dulo <code class="filename">pam_console.so</code> para intentar autenticar al usuario. Si este usuario ya se encuentra dentro de la consola, <code class="filename">pam_console.so</code> verifica si dentro del directorio <code class="filename">/etc/security/console.apps/</code> hay un archivo con el mismo nombre que el del servicio (reboot). Si existe ese archivo, la autenticaciÃ³n es existosa y el control es pasado al siguiente mÃ³dulo.
						</div></li><li class="listitem"><div class="para">
							<code class="command">#auth include system-auth</code> â€” Esta lÃnea es comentada y no se procesa.
						</div></li><li class="listitem"><div class="para">
							<code class="command">account required pam_permit.so</code> â€” Esta lÃnea usa el mÃ³dulo <code class="filename">pam_permit.so</code> para permitir al usuario root o cualquier otro que haya ingresado en la consola reiniciar el sistema.
						</div></li></ul></div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_Files.html"><strong>Anterior</strong>2.4.2. Archivos de configuraciÃ³n de PAM</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-PAM_Configuration_File_Format-Control_Flag.html"><strong>Siguiente</strong>2.4.3.2. Bandera de control</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_Files.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.2. Archivos de configuraciÃ³n de PAM</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. MÃ³dulos de autenticaciÃ³n conectables (PAM, por las iniciales en inglÃ©s de Pluggable Authentication Modules)"/><link rel="prev" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. MÃ³dulos de autenticaciÃ³n conectables (PAM, por las iniciales en inglÃ©s de Pluggable Authentication Modules)"/><link rel="next" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html" title="2.4.3. Formato del archivo de configuraciÃ³n de PAM"/></head><body class="d
 raft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.4.2. Archivos de configuraciÃ³n de PAM"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_Files">2.4.2. Archivos de configuraciÃ³n de PAM</h3></div></div></div><div class="para">
			El directorio <code class="filename">/etc/pam.d/</code> contiene los archivos de configuraciÃ³n de PAM para cada aplicaciÃ³n que utilice PAM. En versiones anteriores de PAM, se usaba el archivo <code class="filename">/etc/pam.conf</code>, pero este archivo se dejado de usar y sÃ³lo se utilizarÃ¡ si el directorio <code class="filename">/etc/pam.d/</code> no existe.
		</div><div class="section" title="2.4.2.1. Archivos del servicio PAM"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-PAM_Configuration_Files-PAM_Service_Files">2.4.2.1. Archivos del servicio PAM</h4></div></div></div><div class="para">
				Cada aplicaciÃ³n con capacidades PAM o <em class="firstterm">servicio</em> tiene un archivo en el directorio <code class="filename">/etc/pam.d/</code>. Cada archivo en este directorio tiene el mismo nombre del servicio al que controla el acceso.
			</div><div class="para">
				El programa que usa PAM es responsable por definir su nombre de servicio e instalar su propio archivo de configuraciÃ³n PAM en el directorio <code class="filename">/etc/pam.d/</code>. Por ejemplo, el programa <code class="command">login</code> define su nombre de servicio como <code class="command">login</code> e instala el archivo de configuraciÃ³n PAM <code class="filename">/etc/pam.d/login</code>.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html"><strong>Anterior</strong>2.4. MÃ³dulos de autenticaciÃ³n conectables (PAM, p...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html"><strong>Siguiente</strong>2.4.3. Formato del archivo de configuraciÃ³n de PAM</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Administrative_Credential_Caching.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.6. PAM y el cacheo de la credencial administrativa</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. MÃ³dulos de autenticaciÃ³n conectables (PAM, por las iniciales en inglÃ©s de Pluggable Authentication Modules)"/><link rel="prev" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Creating_PAM_Modules.html" title="2.4.5. CreaciÃ³n de los mÃ³dulos PAM"/><link rel="next" href="sect-Security_Guide-PAM_and_Administrative_Credential_Caching-Common_pam_timestamp_Directives.html" title="2.4.6.2. Directivas comunes de pam_timestamp_check"/></head><body class="draft "><p id="title"><a class="left" h
 ref="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Creating_PAM_Modules.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-PAM_and_Administrative_Credential_Caching-Common_pam_timestamp_Directives.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.4.6. PAM y el cacheo de la credencial administrativa"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Administrative_Credential_Caching">2.4.6. PAM y el cacheo de la credencial administrativa</h3></div></div></div><div class="para">
			Una cantidad de herramientas administrativas grÃ¡ficas en Fedora le ofrecen a los usuarios un elevado grado de privilegio, durante un perÃodo de tiempo de hasta cinco minutos, utilizando el mÃ³dulo <code class="filename">pam_timestamp.so</code>. Es importante entender como funciona este mecanismo, ya que si algÃºn usuario abandona la terminal mientras continue vigente <code class="filename">pam_timestamp.so</code>, dejarÃ¡ a ese equipo libre para ser manipulado por quienquiera que tenga acceso fÃsico a la consola.
		</div><div class="para">
			En el esquema del registro del tiempo de PAM, cuando es iniciada la aplicaciÃ³n administrativa grÃ¡fica, solicita al usuario la contraseÃ±a de root. Cuando el usuario ha sido autenticado, el mÃ³dulo <code class="filename">pam_timestamp.so</code> crea un archivo de registro de tiempo. Por defecto, es creado en el directorio <code class="filename">/var/run/sudo/</code>. Si el archivo ya existe, los programas administrativos grÃ¡ficos no solicitarÃ¡n una contraseÃ±a. En su lugar, el mÃ³dulo <code class="filename">pam_timestamp.so</code> actualizarÃ¡ el archivo de registro de tiempo, reservando cinco minutos extra de acceso administrativo sin contraseÃ±as al usuario.
		</div><div class="para">
			Puede verificar el estado actual del archivo de registro de tiempo, consultando el archivo <code class="filename">/var/run/sudo/<usuario></code>. Para el escritorio, el archivo importante es <code class="filename">unknown:root</code>. Si se encuentra presente y su registro de tiempo es menor a cinco minutos de antigÃ¼edad, las credenciales son vÃ¡lidas.
		</div><div class="para">
			La existencia del archivo de registro de tiempo se indica mediante un Ãcono de autenticaciÃ³n, que aparece en el Ã¡rea de notificaciÃ³n del panel.
		</div><div class="figure" id="figu-Security_Guide-PAM_and_Administrative_Credential_Caching-The_Authentication_Icon"><div class="figure-contents"><div class="mediaobject"><img src="images/authicon.png" alt="El Ãcono de autenticaciÃ³n"/><div class="longdesc"><div class="para">
						IlustraciÃ³n del Ãcono de autenticaciÃ³n.
					</div></div></div></div><h6>Figura 2.7. El Ãcono de autenticaciÃ³n</h6></div><br class="figure-break"/><div class="section" title="2.4.6.1. Borrando el archivo de registro de tiempo"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-PAM_and_Administrative_Credential_Caching-Removing_the_Timestamp_File">2.4.6.1. Borrando el archivo de registro de tiempo</h4></div></div></div><div class="para">
				Antes de abandonar la consola donde se encuentra activo el registro de tiempo de PAM, es recomendable destruir el archivo correspondiente. Para hacerlo desde un entorno grÃ¡fico, haga clic sobre el Ãcono de autenticaciÃ³n del panel. Esto hace que se abra un cuadro de diÃ¡logo. Haga clic sobre el botÃ³n <span class="guibutton"><strong>Olvidar AutenticaciÃ³n</strong></span> para destruir el archivo de registro de tiempo activo.
			</div><div class="figure" id="figu-Security_Guide-Removing_the_Timestamp_File-Dismiss_Authentication_Dialog"><div class="figure-contents"><div class="mediaobject"><img src="images/auth-panel.png" alt="DiÃ¡logo de olvidar autenticaciÃ³n"/><div class="longdesc"><div class="para">
							IlustraciÃ³n del cuadro de diÃ¡logo de olvido de la autenticaciÃ³n.
						</div></div></div></div><h6>Figura 2.8. DiÃ¡logo de olvidar autenticaciÃ³n</h6></div><br class="figure-break"/><div class="para">
				Con respecto al archivo de registro de tiempo de PAM, debe prestarle atenciÃ³n a lo siguiente:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						Si ha ingresado en el sistema remotamente, utilizando el comando <code class="command">ssh</code>, utilice el comando <code class="command">/sbin/pam_timestamp_check -k root</code> para destruir el archivo de registro de tiempo.
					</div></li><li class="listitem"><div class="para">
						SerÃ¡ necesario que ejecute el comando <code class="command">/sbin/pam_timestamp_check -k root</code> desde la misma ventana de la terminal desde la que iniciÃ³ la aplicaciÃ³n con este privilegio.
					</div></li><li class="listitem"><div class="para">
						Debe estar registrado como el usuario que originalmente invocÃ³ el mÃ³dulo <code class="filename">pam_timestamp.so</code>, de modo de poder utilizar el comando <code class="command">/sbin/pam_timestamp_check -k</code>. No se registre como usuario root para utilizarlo.
					</div></li><li class="listitem"><div class="para">
						Si quiere abandonar las credenciales en el escritorio (sin utilizar la acciÃ³n <span class="guibutton"><strong>Olvidar AutenticaciÃ³n</strong></span> del Ãcono), utilice el siguiente comando:
					</div><pre class="screen">/sbin/pam_timestamp_check -k root </dev/null >/dev/null 2>/dev/null
</pre><div class="para">
						Una falla al utilizar este comando harÃ¡ que solo sean eliminadas las credenciales (en el caso que las hubiera) del pty desde donde ejecutÃ³ el comando.
					</div></li></ul></div><div class="para">
				Consulte la pÃ¡gina man <code class="filename">pam_timestamp_check</code> para obtener mÃ¡s informaciÃ³n acerca del uso de <code class="command">pam_timestamp_check</code> para destruir el archivo de registro de tiempo.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Creating_PAM_Modules.html"><strong>Anterior</strong>2.4.5. CreaciÃ³n de los mÃ³dulos PAM</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-PAM_and_Administrative_Credential_Caching-Common_pam_timestamp_Directives.html"><strong>Siguiente</strong>2.4.6.2. Directivas comunes de pam_timestamp_check</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.7. PAM y la propiedad de los dispositivos</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. MÃ³dulos de autenticaciÃ³n conectables (PAM, por las iniciales en inglÃ©s de Pluggable Authentication Modules)"/><link rel="prev" href="sect-Security_Guide-PAM_and_Administrative_Credential_Caching-Common_pam_timestamp_Directives.html" title="2.4.6.2. Directivas comunes de pam_timestamp_check"/><link rel="next" href="sect-Security_Guide-PAM_and_Device_Ownership-Application_Access.html" title="2.4.7.2. Acceso a aplicaciones"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject
 .org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-PAM_and_Administrative_Credential_Caching-Common_pam_timestamp_Directives.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-PAM_and_Device_Ownership-Application_Access.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.4.7. PAM y la propiedad de los dispositivos"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership">2.4.7. PAM y la propiedad de los dispositivos</h3></div></div></div><div class="para">
			En Fedora, el primer usuario que se registra en la consola fÃsica de la mÃ¡quina, puede manipular ciertos dispositivos y realizar ciertas tareas que por lo general son reservadas al usuario root. Esto es controlado por un mÃ³dulo PAM denominado <code class="filename">pam_console.so</code>.
		</div><div class="section" title="2.4.7.1. Propiedad de los dispositivos"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-PAM_and_Device_Ownership-Device_Ownership">2.4.7.1. Propiedad de los dispositivos</h4></div></div></div><div class="para">
				Cuando un usuario se registra en un sistema Fedora, el mÃ³dulo <code class="filename">pam_console.so</code> es llamado mediante el comando <code class="command">login</code>, o mediante algunos de los programa grÃ¡ficos de logueo, como ser <span class="application"><strong>gdm</strong></span>, <span class="application"><strong>kdm</strong></span>, y <span class="application"><strong>xdm</strong></span>. Si este usuario es el primero en loguearse en la consola fÃsica â€” denominada <em class="firstterm">consola del usuario</em> â€” el modulo le asegura al usuario el dominio de una gran variedad de dispositivos que normalmente le pertenecen al usuario root. Estos dispositivos le pertenecen a la consola del usuario hasta que finalice su Ãºltima sesiÃ³n local. Una vez que este usuario haya finalizado su sesiÃ³n, la pertenencia de los dispositivos vuelve a ser del usuario root.
			</div><div class="para">
				Los dispositivos afectados incluyen, pero no se limitan a, las placas de sonido, disqueteras, lectoras de CD-ROM.
			</div><div class="para">
				Esta instalaciÃ³n permite al usuario local manipular estos dispositivos sin obtener el acceso de root, por lo que se simplifican las tareas comunes para el usuario de consola.
			</div><div class="para">
				Puede modificar la lista de dispositivos controlados por <code class="filename">pam_console.so</code> editando los siguientes archivos: 
				<div class="itemizedlist"><ul><li class="listitem"><div class="para">
							<code class="filename">/etc/security/console.perms</code>
						</div></li><li class="listitem"><div class="para">
							<code class="filename">/etc/security/console.perms.d/50-default.perms</code>
						</div></li></ul></div>
			</div><div class="para">
				Puede cambiar los permisos de los otros dispositivos diferentes, ademÃ¡s de los que se han mostrado antes, o modificar los especificados por defecto. En lugar de modificar el archivo <code class="filename">50-default.perms</code>, deberÃa crear uno nuevo (por ejemplo <code class="filename"><em class="replaceable"><code>xx</code></em>-name.perms</code>) y luego ingresar las modificaciones requeridas. El nombre del nuevo archivo modelo debe comenzar con un nÃºmero superior a 50 (por ejemplo <code class="filename">51-default.perms</code>). Esto va a sustituir lo indicado en el archivo <code class="filename">50-default.perms</code>.
			</div><div class="warning"><h2>Advertencia</h2><div class="para">
					Si el archivo de configuraciÃ³n del administrador de <span class="application"><strong>gdm</strong></span>, <span class="application"><strong>kdm</strong></span>, o <span class="application"><strong>xdm</strong></span> ha sido alterado de manera tal que permita que usuarios remotos puedan ingresar <span class="emphasis"><em>y</em></span> si el equipo estÃ¡ configurado para ejecutarse en el nivel de ejecuciÃ³n 5, es aconsejable modificar las directivas <code class="command"><console></code> y <code class="command"><xconsole></code> del archivo <code class="filename">/etc/security/console.perms</code> con los siguientes valores:
				</div><pre class="screen"><console>=tty[0-9][0-9]* vc/[0-9][0-9]* :0\.[0-9] :0 
<xconsole>=:0\.[0-9] :0
</pre><div class="para">
					Esto evita que los usuarios ganen acceso a dispositivos y aplicaciones restringidas en la mÃ¡quina.
				</div><div class="para">
					Si el archivo de configuraciÃ³n del administrador de <span class="application"><strong>gdm</strong></span>, <span class="application"><strong>kdm</strong></span>, o <span class="application"><strong>xdm</strong></span> ha sido modificado de modo que permita que usuarios remotos puedan ingresar, <span class="emphasis"><em>y</em></span> si el equipo estÃ¡ configurado para ejecutarse en cualquier nivel de ejecuciÃ³n multiusuario ademÃ¡s del nivel de ejecuciÃ³n 5, es aconsejable eliminar completamente la directiva <code class="command"><xconsole></code>, al mismo tiempo que modificar la directiva <code class="command"><console></code> con el valor siguiente:
				</div><pre class="screen"><console>=tty[0-9][0-9]* vc/[0-9][0-9]*
</pre></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-PAM_and_Administrative_Credential_Caching-Common_pam_timestamp_Directives.html"><strong>Anterior</strong>2.4.6.2. Directivas comunes de pam_timestamp_check</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-PAM_and_Device_Ownership-Application_Access.html"><strong>Siguiente</strong>2.4.7.2. Acceso a aplicaciones</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Sample_PAM_Configuration_Files.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.4. Ejemplos de archivos de configuraciÃ³n de PAM</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. MÃ³dulos de autenticaciÃ³n conectables (PAM, por las iniciales en inglÃ©s de Pluggable Authentication Modules)"/><link rel="prev" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Arguments.html" title="2.4.3.4. Argumentos del mÃ³dulo"/><link rel="next" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Creating_PAM_Modules.html" title="2.4.5. CreaciÃ³n de los mÃ³dulos PAM"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Com
 mon_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Arguments.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Creating_PAM_Modules.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.4.4. Ejemplos de archivos de configuraciÃ³n de PAM"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Sample_PAM_Configuration_Files">2.4.4. Ejemplos de archivos de configuraciÃ³n de PAM</h3></div></div></div><div class="para">
			La siguiente es una muestra del archivo de configuraciÃ³n PAM de una aplicaciÃ³n:
		</div><pre class="screen">#%PAM-1.0
auth        required  pam_securetty.so
auth        required  pam_unix.so nullok
auth        required  pam_nologin.so
account        required  pam_unix.so
password        required  pam_cracklib.so retry=3
password        required  pam_unix.so shadow nullok use_authtok
session        required  pam_unix.so
</pre><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					La primera lÃnea es un comentario, indicado por el numeral (<code class="command">#</code>) al comienzo de la lÃnea.
				</div></li><li class="listitem"><div class="para">
					Las lÃneas 2 a la 4 apila tres mÃ³dulos para la autenticaciÃ³n de ingreso.
				</div><div class="para">
					<code class="command">auth required pam_securetty.so</code> â€” Este mÃ³dulo asegura que <span class="emphasis"><em>si</em></span> el usuario intenta ingresar como root, el tty donde el usuario estÃ¡ ingresando debe estar listado en el archivo <code class="filename">/etc/securetty</code>, <span class="emphasis"><em>si</em></span> ese archivo existe.
				</div><div class="para">
					Si el tty no estÃ¡ listado en el archivo, cualquier intento de loguearse como usuario root serÃ¡ errÃ³neo con el siguiente mensaje: <code class="computeroutput">Login incorrect</code>.
				</div><div class="para">
					<code class="command">auth required pam_unix.so nullok</code> â€” Este mÃ³dulo pide una contraseÃ±a al usuario, que luego confirma utilizando la informaciÃ³n almacenada en <code class="filename">/etc/passwd</code>, y <code class="filename">/etc/shadow</code>, si es que existe.
				</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
							El argumento <code class="command">nullok</code> le indica al mÃ³dulo <code class="filename">pam_unix.so</code> que permita el ingreso de una contraseÃ±a vacÃa.
						</div></li></ul></div></li><li class="listitem"><div class="para">
					<code class="command">auth required pam_nologin.so</code> â€” Este es el Ãºltimo momento de la autenticaciÃ³n. Confirma que exista y en quÃ© lugar, el archivo <code class="filename">/etc/nologin</code>. Si existe, pero el usuario no es root, la autenticaciÃ³n falla.
				</div><div class="note"><h2>Nota</h2><div class="para">
						En este ejemplo, los tres mÃ³dulos <code class="command">auth</code> se encuentran verificados, aÃºn si fallÃ³ el primer mÃ³dulo <code class="command">auth</code>. Esto evita que los usuarios conozcan el momento exacto en que su autenticaciÃ³n fallÃ³. En manos de un atacante, el conocimiento de ese dato podrÃa permitirle deducir mÃ¡s fÃ¡cilmente cÃ³mo vulnerar el sistema.
					</div></div></li><li class="listitem"><div class="para">
					<code class="command">account required pam_unix.so</code> â€” Este mÃ³dulo realiza cualquier tipo de verificaciÃ³n de cuenta que sea necesario. Por ejemplo, si se ha activado el enmascaramiento de contraseÃ±as, la interfaz de la cuenta del mÃ³dulo <code class="filename">pam_unix.so</code> verifica que la cuenta no haya expirado, o que el usuario no haya modificado la contraseÃ±a dentro del perÃodo permitido.
				</div></li><li class="listitem"><div class="para">
					<code class="command">password required pam_cracklib.so retry=3</code> â€” Si una contraseÃ±a ha expirado, el componente contraseÃ±a del mÃ³dulo <code class="filename">pam_cracklib.so</code> solicita una nueva. En seguida confirma que la nueva contraseÃ±a pueda o no ser fÃ¡cilmente revelada por un programa de obtenciÃ³n de contraseÃ±as basado en diccionarios.
				</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
							El argumento <code class="command">retry=3</code> indica que si esta prueba falla la primera vez, el usuario tiene dos oportunidades mÃ¡s para crear una contraseÃ±a mÃ¡s poderosa.
						</div></li></ul></div></li><li class="listitem"><div class="para">
					<code class="command">password required pam_unix.so shadow nullok use_authtok</code> â€” Esta lÃnea indica que si el programa modifica la contraseÃ±a del usuario, deberÃa utilizar para ello la interfaz <code class="command">password</code> del mÃ³dulo <code class="filename">pam_unix.so</code>.
				</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
							El argumento <code class="command">shadow</code> le indica al mÃ³dulo la creaciÃ³n de contraseÃ±as ocultas cada vez que actualice la contraseÃ±a del usuario.
						</div></li><li class="listitem"><div class="para">
							El argumento <code class="command">nullok</code> le indica al mÃ³dulo que le permita al usuario modificar su contraseÃ±a <span class="emphasis"><em>desde</em></span> una contraseÃ±a en blanco. De lo contrario, una contraseÃ±a vacÃa serÃ¡ tratada como un bloqueo de cuenta.
						</div></li><li class="listitem"><div class="para">
							El argumento final de esta lÃnea, <code class="command">use_authtok</code>, ofrece un buen ejemplo de la importancia que tiene el orden en que se "apilen" los modulos PAM. Este argumento le indica al mÃ³dulo que no le solicite al usuario una nueva contraseÃ±a, y que en su lugar acepte cualquier contraseÃ±a que haya sido almacenada por un mÃ³dulo anterior. De esta manera, todas las nuevas contraseÃ±as deben pasar la prueba de <code class="filename">pam_cracklib.so</code> para confirmar que sean seguras antes de ser aceptadas
						</div></li></ul></div></li><li class="listitem"><div class="para">
					<code class="command">session required pam_unix.so</code> â€” La lÃnea final le indica a la interfaz de sesiÃ³n del mÃ³dulo <code class="filename">pam_unix.so</code> que administre la sesiÃ³n. Este mÃ³dulo registra el nombre de usuario y el tipo de servicio en <code class="filename">/var/log/secure</code> al comienzo y al final de cada sesiÃ³n. Este mÃ³dulo puede ser suplementado si se lo "apila" con otros mÃ³dulos de sesiÃ³n y poder asÃ agregarle funcionalidades.
				</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Arguments.html"><strong>Anterior</strong>2.4.3.4. Argumentos del mÃ³dulo</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Creating_PAM_Modules.html"><strong>Siguiente</strong>2.4.5. CreaciÃ³n de los mÃ³dulos PAM</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4. MÃ³dulos de autenticaciÃ³n conectables (PAM, por las iniciales en inglÃ©s de Pluggable Authentication Modules)</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Securing_Your_Network.html" title="CapÃtulo 2. Asegurando su Red"/><link rel="prev" href="sect-Security_Guide-Single_Sign_on_SSO-Configuring_Firefox_to_use_Kerberos_for_SSO.html" title="2.3.5. Configurar Firefox para la utilizaciÃ³n de Kerberos como SSO"/><link rel="next" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_Files.html" title="2.4.2. Archivos de configuraciÃ³n de PAM"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproj
 ect.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Single_Sign_on_SSO-Configuring_Firefox_to_use_Kerberos_for_SSO.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_Files.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="section" title="2.4. MÃ³dulos de autenticaciÃ³n conectables (PAM, por las iniciales en inglÃ©s de Pluggable Authentication Modules)"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Pluggable_Authentication_Modules_PAM">2.4. MÃ³dulos de autenticaciÃ³n conectables (PAM, por las iniciales en inglÃ©s de Pluggable Authentication Modules)</h2></div></div></div><div 
 class="para">
		Los programas que permiten el acceso del usuario a un sistema usan la <em class="firstterm">autenticaciÃ³n</em> para verificar la identidad de cada uno (es decir, para establecer que el usuario es quien dice ser).
	</div><div class="para">
		HistÃ³ricamente, cada programa tenÃa su propia forma de autenticar los usuarios. En Fedora, muchos programas se configuran para usar el mecanismo de autenticaciÃ³n centralizado llamado <em class="firstterm">MÃ³dulos de AutenticaciÃ³n Conectables</em> (<acronym class="acronym">PAM</acronym>).
	</div><div class="para">
		PAM usa una arquitectura modular, con complementos, que le da al administrador del sistema un buen grado de flexibilidad en la configuraciÃ³n de las polÃticas de autenticaciÃ³n para el sistema.
	</div><div class="para">
		En la mayorÃa de las situaciones, la configuraciÃ³n establecida por defecto del archivo PAM serÃ¡ suficiente para una aplicaciÃ³n que tenga soporte de PAM. Sin embargo, algunas veces, es necesario editar un archivo de configuraciÃ³n de PAM. Dado que una configuraciÃ³n errÃ³nea de PAM puede llegar a poner en riesgo la seguridad del sistema, es importante comprender la estructura de estos archivos antes de realizar cualquier tipo de modificaciÃ³n. Para obtener mÃ¡s informaciÃ³n, vea la <a class="xref" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html" title="2.4.3. Formato del archivo de configuraciÃ³n de PAM">SecciÃ³nÂ 2.4.3, â€œFormato del archivo de configuraciÃ³n de PAMâ€</a>.
	</div><div class="section" title="2.4.1. Ventajas de PAM"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Advantages_of_PAM">2.4.1. Ventajas de PAM</h3></div></div></div><div class="para">
			PAM ofrece las siguientes ventajas;
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					un esquema de autenticaciÃ³n comÃºn que se puede usar en una amplia variedad de aplicaciones.
				</div></li><li class="listitem"><div class="para">
					flexibilidad significativa y control sobre la autenticaciÃ³n para administradores del sistema y desarrolladores de aplicaciones.
				</div></li><li class="listitem"><div class="para">
					una Ãºnica biblioteca bien documentada que permite a los desarrolladores escribir programas sin tener que crear sus propios esquemas de autenticaciÃ³n.
				</div></li></ul></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Single_Sign_on_SSO-Configuring_Firefox_to_use_Kerberos_for_SSO.html"><strong>Anterior</strong>2.3.5. Configurar Firefox para la utilizaciÃ³n de ...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_Files.html"><strong>Siguiente</strong>2.4.2. Archivos de configuraciÃ³n de PAM</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Secure_Installation-Utilize_LUKS_Partition_Encryption.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>5.2. Utilice encriptado de particiones mediante LUKS</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Secure_Installation.html" title="CapÃtulo 5. InstalaciÃ³n segura"/><link rel="prev" href="chap-Security_Guide-Secure_Installation.html" title="CapÃtulo 5. InstalaciÃ³n segura"/><link rel="next" href="chap-Security_Guide-Software_Maintenance.html" title="CapÃtulo 6. Mantenimiento de Software"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png"
  alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-Secure_Installation.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-Software_Maintenance.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="5.2. Utilice encriptado de particiones mediante LUKS"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Secure_Installation-Utilize_LUKS_Partition_Encryption">5.2. Utilice encriptado de particiones mediante LUKS</h2></div></div></div><div class="para">
			Desde Fedora 9 la implementaciÃ³n de <a href="http://fedoraproject.org/wiki/Security_Guide/9/LUKSDiskEncryption">Linux Unified Key Setup-on-disk-format</a> (LUKS) ha permitido que el encriptado sea algo mucho mÃ¡s sencillo. A lo largo del proceso de instalaciÃ³n se le presenta una opciÃ³n al usuario que le permite encriptar sus particiones. El usuario debe suministrar una frase de acceso que serÃ¡ la llave para desbloquear el encriptado en masa que se utilizarÃ¡ para proteger los datos de las particiones.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-Secure_Installation.html"><strong>Anterior</strong>CapÃtulo 5. InstalaciÃ³n segura</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-Software_Maintenance.html"><strong>Siguiente</strong>CapÃtulo 6. Mantenimiento de Software</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_FTP-Anonymous_Access.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.6.2. Acceso anÃ³nimo</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_FTP.html" title="2.2.6. Asegurando FTP"/><link rel="prev" href="sect-Security_Guide-Server_Security-Securing_FTP.html" title="2.2.6. Asegurando FTP"/><link rel="next" href="sect-Security_Guide-Securing_FTP-User_Accounts.html" title="2.2.6.3. Cuentas de usuario"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><u
 l class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_FTP.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_FTP-User_Accounts.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.2.6.2. Acceso anÃ³nimo"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_FTP-Anonymous_Access">2.2.6.2. Acceso anÃ³nimo</h4></div></div></div><div class="para">
				La presencia del directorio <code class="filename">/var/ftp/</code> activa la cuenta anÃ³nima.
			</div><div class="para">
				La forma mÃ¡s sencilla de crear este directorio es instalando el paquete <code class="filename">vsftpd</code>. Este paquete establece un Ã¡rbol de directorios para usuarios anÃ³nimos y configura los permisos de manera tal que estos usuarios sÃ³lo puedan leer sus contenidos.
			</div><div class="para">
				Por defecto, el usuario anÃ³nimo no puede escribir en ningÃºn directorio.
			</div><div class="warning"><h2>Advertencia</h2><div class="para">
					Si se habilita la posibilidad de acceso anÃ³nimo a un servidor FTP, tenga cuidado de donde almacenar los datos importantes.
				</div></div><div class="section" title="2.2.6.2.1. Subida anÃ³nima"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Anonymous_Access-Anonymous_Upload">2.2.6.2.1. Subida anÃ³nima</h5></div></div></div><div class="para">
					Para permitir que los usuarios anÃ³nimos suban archivos, es recomendable la creaciÃ³n de un directorio dentro de <code class="filename">/var/ftp/pub/</code>, con permisos de escritura solamente.
				</div><div class="para">
					Para hacerlo, ingrese el siguiente comando:
				</div><pre class="screen">mkdir /var/ftp/pub/subidas
</pre><div class="para">
					A continuaciÃ³n, modifique los permisos de modo que los usuarios anÃ³nimos no puedan conocer el contenido del directorio:
				</div><pre class="screen">chmod 730 /var/ftp/pub/subidas
</pre><div class="para">
					Un listado de manera extendida del directorio, deberÃa ser semejante a esto:
				</div><pre class="screen">drwx-wx---    2 root     ftp          4096 Feb 13 20:05 subidas
</pre><div class="warning"><h2>Advertencia</h2><div class="para">
						Los administradores que permiten que usuarios anÃ³nimos sean capaces de leer y de escribir sobre los directorios, a menudo se encuentran con que sus servidores se han convertido en repositorios de software robado.
					</div></div><div class="para">
					Adicionalmente, bajo <code class="command">vsftpd</code>, aÃ±ada la siguiente lÃnea en el archivo <code class="filename">/etc/vsftpd/vsftpd.conf</code>:
				</div><pre class="screen">anon_upload_enable=YES
</pre></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_FTP.html"><strong>Anterior</strong>2.2.6. Asegurando FTP</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_FTP-User_Accounts.html"><strong>Siguiente</strong>2.2.6.3. Cuentas de usuario</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_FTP-Use_TCP_Wrappers_To_Control_Access.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.6.4. Utilice encapsuladores TCP para el control de acceso</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_FTP.html" title="2.2.6. Asegurando FTP"/><link rel="prev" href="sect-Security_Guide-Securing_FTP-User_Accounts.html" title="2.2.6.3. Cuentas de usuario"/><link rel="next" href="sect-Security_Guide-Server_Security-Securing_Sendmail.html" title="2.2.7. Asegurando Sendmail"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_
 right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_FTP-User_Accounts.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_Sendmail.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.2.6.4. Utilice encapsuladores TCP para el control de acceso"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_FTP-Use_TCP_Wrappers_To_Control_Access">2.2.6.4. Utilice encapsuladores TCP para el control de acceso</h4></div></div></div><div class="para">
				Utilice encapsuladores TCP para controlar el acceso al demonio FTP como se indica en la <a class="xref" href="sect-Security_Guide-Server_Security.html#sect-Security_Guide-Securing_Services_With_TCP_Wrappers_and_xinetd-Enhancing_Security_With_TCP_Wrappers" title="2.2.1.1. Mejorando la seguridad utilizando encapsuladores TCP">SecciÃ³nÂ 2.2.1.1, â€œMejorando la seguridad utilizando encapsuladores TCPâ€</a>.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_FTP-User_Accounts.html"><strong>Anterior</strong>2.2.6.3. Cuentas de usuario</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_Sendmail.html"><strong>Siguiente</strong>2.2.7. Asegurando Sendmail</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_FTP-User_Accounts.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.6.3. Cuentas de usuario</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_FTP.html" title="2.2.6. Asegurando FTP"/><link rel="prev" href="sect-Security_Guide-Securing_FTP-Anonymous_Access.html" title="2.2.6.2. Acceso anÃ³nimo"/><link rel="next" href="sect-Security_Guide-Securing_FTP-Use_TCP_Wrappers_To_Control_Access.html" title="2.2.6.4. Utilice encapsuladores TCP para el control de acceso"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Conten
 t/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_FTP-Anonymous_Access.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_FTP-Use_TCP_Wrappers_To_Control_Access.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.2.6.3. Cuentas de usuario"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_FTP-User_Accounts">2.2.6.3. Cuentas de usuario</h4></div></div></div><div class="para">
				Debido a que FTP transmite para su autenticaciÃ³n nombres de usuario y contraseÃ±as sin encriptarse sobre redes no seguras, es una buena idea la de negar a los usuarios del sistema el acceso al servidor desde sus cuentas de usuario.
			</div><div class="para">
				Para deshabilitar todas las cuentas de usuario en <code class="command">vsftpd</code>, agregue la siguiente directiva en <code class="filename">/etc/vsftpd/vsftpd.conf</code>:
			</div><pre class="screen">local_enable=NO
</pre><div class="section" title="2.2.6.3.1. Restringiendo cuentas de usuario"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-User_Accounts-Restricting_User_Accounts">2.2.6.3.1. Restringiendo cuentas de usuario</h5></div></div></div><div class="para">
					Para deshabilitar acceso FTP para una cuenta especÃfica, o un grupo de cuentas especÃfico, como ser por ejemplo el usuario root y todos aquellos con privilegios <code class="command">sudo</code>, la manera mÃ¡s sencilla de hacerlo es utilizar un archivo de lista PAM como se explica en la <a class="xref" href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Disallowing_Root_Access-Disabling_Root_Using_PAM" title="2.1.4.2.4. Deshabilitando root usando PAM">SecciÃ³nÂ 2.1.4.2.4, â€œDeshabilitando root usando PAMâ€</a>. El archivo de configuraciÃ³n PAM para <code class="command">vsftpd</code> es <code class="filename">/etc/pam.d/vsftpd</code>.
				</div><div class="para">
					TambiÃ©n es posible deshabilitar cuentas de usuario directamente dentro de cada servicio.
				</div><div class="para">
					Para deshabilitar cuentas de usuario especÃficas en <code class="command">vsftpd</code>, agregue el nombre del usuario en <code class="filename">/etc/vsftpd.ftpusers</code>
				</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_FTP-Anonymous_Access.html"><strong>Anterior</strong>2.2.6.2. Acceso anÃ³nimo</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_FTP-Use_TCP_Wrappers_To_Control_Access.html"><strong>Siguiente</strong>2.2.6.4. Utilice encapsuladores TCP para el contr...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_NFS-Beware_of_Syntax_Errors.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.4.2. Cuidado con los errores de sintaxis</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_NFS.html" title="2.2.4. Asegurando NFS"/><link rel="prev" href="sect-Security_Guide-Server_Security-Securing_NFS.html" title="2.2.4. Asegurando NFS"/><link rel="next" href="sect-Security_Guide-Securing_NFS-Do_Not_Use_the_no_root_squash_Option.html" title="2.2.4.3. No utilice la opciÃ³n no_root_squash"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content
 /images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_NFS.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NFS-Do_Not_Use_the_no_root_squash_Option.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.2.4.2. Cuidado con los errores de sintaxis"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_NFS-Beware_of_Syntax_Errors">2.2.4.2. Cuidado con los errores de sintaxis</h4></div></div></div><div class="para">
				El servidor NFS determina quÃ© sistemas de archivos exportar y hacia quÃ© equipos hacerlo al consultar el archivo <code class="filename">/etc/exports</code>. Tenga cuidado de no agregar espacios extraÃ±os cuando edite este archivo.
			</div><div class="para">
				Por ejemplo, la siguiente lÃnea en el archivo <code class="filename">/etc/exports</code> comparte el directorio <code class="command">/tmp/nfs/</code> con el equipo <code class="command">juan.ejemplo.com</code> con permisos de lectura y escritura.
			</div><pre class="screen">/tmp/nfs/     juan.ejemplo.com(rw)
</pre><div class="para">
				Por otro lado, la siguiente lÃnea en el archivo <code class="filename">/etc/exports</code> comparte el mismo directorio con el equipo <code class="computeroutput">juan.ejemplo.com</code>, sÃ³lo con permisos de lectura, y ademÃ¡s lo comparte con el <span class="emphasis"><em>mundo</em></span> con permisos de lectura y de escritura, debido a un simple espacio en blanco dejado luego del nombre del equipo.
			</div><pre class="screen">/tmp/nfs/     juan.ejemplo.com (rw)
</pre><div class="para">
				Es una buena costumbre la de confirmar cualquier configuraciÃ³n de elementos compartidos NFS, utilizar para ello el comando <code class="command">showmount</code> y verificar quÃ© es lo que estÃ¡ siendo compartido:
			</div><pre class="screen">showmount -e <em class="replaceable"><code><hostname></code></em>
</pre></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_NFS.html"><strong>Anterior</strong>2.2.4. Asegurando NFS</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NFS-Do_Not_Use_the_no_root_squash_Option.html"><strong>Siguiente</strong>2.2.4.3. No utilice la opciÃ³n no_root_squash</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_NFS-Do_Not_Use_the_no_root_squash_Option.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.4.3. No utilice la opciÃ³n no_root_squash</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_NFS.html" title="2.2.4. Asegurando NFS"/><link rel="prev" href="sect-Security_Guide-Securing_NFS-Beware_of_Syntax_Errors.html" title="2.2.4.2. Cuidado con los errores de sintaxis"/><link rel="next" href="sect-Security_Guide-Securing_NFS-NFS_Firewall_Configuration.html" title="2.2.4.4. ConfiguraciÃ³n del cortafuego de NFS"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><i
 mg src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NFS-Beware_of_Syntax_Errors.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NFS-NFS_Firewall_Configuration.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.2.4.3. No utilice la opciÃ³n no_root_squash"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_NFS-Do_Not_Use_the_no_root_squash_Option">2.2.4.3. No utilice la opciÃ³n <code class="command">no_root_squash</code></h4></div></div></div><div class="para">
				Por defecto, al utilizarse para compartir elementos, NFS cambia el usuario root al usuario <code class="command">nfsnobody</code>, una cuenta de usuario sin privilegios. Esto modifica la pertenencia de todos los archivos creados por el usuario root, y se los otorga a <code class="command">nfsnobody</code>, evitando de esta forma la carga de programas definidos con bit de tipo setuid.
			</div><div class="para">
				Si se utiliza <code class="command">no_root_squash</code>, los usuarios root remotos tienen la posibilidad de modificar cualquier archivo en el sistema de archivos compartido, y dejar aplicaciones infectadas con troyanos para que otros usuarios las ejecuten sin saberlo.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NFS-Beware_of_Syntax_Errors.html"><strong>Anterior</strong>2.2.4.2. Cuidado con los errores de sintaxis</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NFS-NFS_Firewall_Configuration.html"><strong>Siguiente</strong>2.2.4.4. ConfiguraciÃ³n del cortafuego de NFS</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_NFS-NFS_Firewall_Configuration.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.4.4. ConfiguraciÃ³n del cortafuego de NFS</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_NFS.html" title="2.2.4. Asegurando NFS"/><link rel="prev" href="sect-Security_Guide-Securing_NFS-Do_Not_Use_the_no_root_squash_Option.html" title="2.2.4.3. No utilice la opciÃ³n no_root_squash"/><link rel="next" href="sect-Security_Guide-Server_Security-Securing_the_Apache_HTTP_Server.html" title="2.2.5. Asegurando el servidor HTTP Apache"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fed
 oraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NFS-Do_Not_Use_the_no_root_squash_Option.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_the_Apache_HTTP_Server.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.2.4.4. ConfiguraciÃ³n del cortafuego de NFS"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_NFS-NFS_Firewall_Configuration">2.2.4.4. ConfiguraciÃ³n del cortafuego de NFS</h4></div></div></div><div class="para">
				Los puertos utilizados por NFS estÃ¡n dinÃ¡micamente asignados por rpcbind, y esto puede causar problemas en el momento de crear reglas de cortafuegos. Para simplificar este proceso, utilice el archivo <span class="emphasis"><em>/etc/sysconfig/nfs</em></span> para especificar quÃ© puertos deben ser utilizados:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<code class="command">MOUNTD_PORT</code> â€” puerto TCP y UDP para mountd (rpc.mountd)
					</div></li><li class="listitem"><div class="para">
						<code class="command">STATD_PORT</code> â€” puerto TCP y UDP para status (rpc.statd)
					</div></li><li class="listitem"><div class="para">
						<code class="command">LOCKD_TCPPORT</code> â€” puerto TCP para nlockmgr (rpc.lockd)
					</div></li><li class="listitem"><div class="para">
						<code class="command">LOCKD_UDPPORT</code> â€” UDP port nlockmgr (rpc.lockd)
					</div></li></ul></div><div class="para">
				Los nÃºmeros de puerto especificados no deben ser utilizados por ningÃºn otro servicio. Configure su cortafuegos para permitir los nÃºmeros de puerto especificados, del mismo modo que el puerto TCP y UDP 2049 (NFS).
			</div><div class="para">
				Ejecute el comando <code class="command">rpcinfo -p</code> sobre el servidor NFS para conocer quÃ© programas RPC y quÃ© puertos estÃ¡n siendo utilizados.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NFS-Do_Not_Use_the_no_root_squash_Option.html"><strong>Anterior</strong>2.2.4.3. No utilice la opciÃ³n no_root_squash</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_the_Apache_HTTP_Server.html"><strong>Siguiente</strong>2.2.5. Asegurando el servidor HTTP Apache</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_NIS-Assign_Static_Ports_and_Use_iptables_Rules.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.3.4. Asigne puertos estÃ¡ticos y utilice reglas de iptables</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_NIS.html" title="2.2.3. Asegurando NIS"/><link rel="prev" href="sect-Security_Guide-Securing_NIS-Edit_the_varypsecurenets_File.html" title="2.2.3.3. Editar el archivo /var/yp/securenets"/><link rel="next" href="sect-Security_Guide-Securing_NIS-Use_Kerberos_Authentication.html" title="2.2.3.5. Use autenticaciÃ³n con Kerberos"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.
 fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NIS-Edit_the_varypsecurenets_File.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NIS-Use_Kerberos_Authentication.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.2.3.4. Asigne puertos estÃ¡ticos y utilice reglas de iptables"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_NIS-Assign_Static_Ports_and_Use_iptables_Rules">2.2.3.4. Asigne puertos estÃ¡ticos y utilice reglas de iptables</h4></div></div></div><div class="para">
				A todos los servidores relacionados con NIS se les puede asignar un puerto especÃfico, excepto <code class="command">rpc.yppasswdd</code> â€” el demonio que permite a los usuarios modificar sus contraseÃ±as de logueo. Asignar puertos a <code class="command">rpc.ypxfrd</code> y <code class="command">ypserv</code>, los restantes demonios de servidores NIS, permite la creaciÃ³n de reglas de cortafuegos, y de esta manera poder proteger a los demonios de futuras intrusiones.
			</div><div class="para">
				Para hacerlo, agregue las siguientes lÃneas en <code class="filename">/etc/sysconfig/network</code>:
			</div><pre class="screen">YPSERV_ARGS="-p 834" YPXFRD_ARGS="-p 835"
</pre><div class="para">
				Las siguientes reglas iptables pueden ser utilizadas para fortalecer la red que el servidor estÃ¡ escuchando con estos puertos:
			</div><pre class="screen">iptables -A INPUT -p ALL -s! 192.168.0.0/24  --dport 834 -j DROP
iptables -A INPUT -p ALL -s! 192.168.0.0/24  --dport 835 -j DROP
</pre><div class="para">
				Esto significa que el servidor solo permite conexiones a los puertos 834 y 835, si es que la peticiÃ³n proviene desde la red 192.168.0.0/24, y sin importar quÃ© protocolo se estÃ© utilizando.
			</div><div class="note"><h2>Nota</h2><div class="para">
					DirÃjase a la <a class="xref" href="sect-Security_Guide-Firewalls.html" title="2.8. Cortafuegos">SecciÃ³nÂ 2.8, â€œCortafuegosâ€</a> para mÃ¡s informaciÃ³n acerca de implementar cortafuegos con comandos de iptables.
				</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NIS-Edit_the_varypsecurenets_File.html"><strong>Anterior</strong>2.2.3.3. Editar el archivo /var/yp/securenets</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NIS-Use_Kerberos_Authentication.html"><strong>Siguiente</strong>2.2.3.5. Use autenticaciÃ³n con Kerberos</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_NIS-Edit_the_varypsecurenets_File.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.3.3. Editar el archivo /var/yp/securenets</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_NIS.html" title="2.2.3. Asegurando NIS"/><link rel="prev" href="sect-Security_Guide-Securing_NIS-Use_a_Password_like_NIS_Domain_Name_and_Hostname.html" title="2.2.3.2. UtilizaciÃ³n de nombres de dominio y de equipo NIS, de modo similar a una contraseÃ±a"/><link rel="next" href="sect-Security_Guide-Securing_NIS-Assign_Static_Ports_and_Use_iptables_Rules.html" title="2.2.3.4. Asigne puertos estÃ¡ticos y utilice reglas de iptables"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Co
 ntent/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NIS-Use_a_Password_like_NIS_Domain_Name_and_Hostname.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NIS-Assign_Static_Ports_and_Use_iptables_Rules.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.2.3.3. Editar el archivo /var/yp/securenets"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_NIS-Edit_the_varypsecurenets_File">2.2.3.3. Editar el archivo <code class="filename">/var/yp/securenets</code></h4></div></div></div><div class="para">
				Si el archivo <code class="filename">/var/yp/securenets</code> estÃ¡ vacÃo o no existe (como es el caso luego de una instalaciÃ³n por defecto), NIS escucha a todos los puertos. Una de las primeras cosas a realizar es ingresar pares mÃ¡scara de red/red (netmask/network) en el archivo de modo que <code class="command">ypserv</code> solo responda a las peticiones de una red adecuada.
			</div><div class="para">
				A continuaciÃ³n se muestra una entrada de ejemplo del archivo <code class="filename">/var/yp/securenets</code>:
			</div><pre class="screen">255.255.255.0     192.168.0.0
</pre><div class="warning"><h2>Advertencia</h2><div class="para">
					Nunca inicie un servidor NIS por vez primera sin haber antes creado el archivo <code class="filename">/var/yp/securenets</code>.
				</div></div><div class="para">
				Esta tÃ©cnica no ofrece protecciÃ³n contra ataques de simulaciÃ³n de identidad, pero al menos establece lÃmites sobre las redes en las que el servidor NIS estÃ¡ funcionando.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NIS-Use_a_Password_like_NIS_Domain_Name_and_Hostname.html"><strong>Anterior</strong>2.2.3.2. UtilizaciÃ³n de nombres de dominio y de e...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NIS-Assign_Static_Ports_and_Use_iptables_Rules.html"><strong>Siguiente</strong>2.2.3.4. Asigne puertos estÃ¡ticos y utilice regla...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_NIS-Use_Kerberos_Authentication.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.3.5. Use autenticaciÃ³n con Kerberos</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_NIS.html" title="2.2.3. Asegurando NIS"/><link rel="prev" href="sect-Security_Guide-Securing_NIS-Assign_Static_Ports_and_Use_iptables_Rules.html" title="2.2.3.4. Asigne puertos estÃ¡ticos y utilice reglas de iptables"/><link rel="next" href="sect-Security_Guide-Server_Security-Securing_NFS.html" title="2.2.4. Asegurando NFS"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img
  src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NIS-Assign_Static_Ports_and_Use_iptables_Rules.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_NFS.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.2.3.5. Use autenticaciÃ³n con Kerberos"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_NIS-Use_Kerberos_Authentication">2.2.3.5. Use autenticaciÃ³n con Kerberos</h4></div></div></div><div class="para">
				Uno de los problemas a ser considerados si se utiliza NIS para una autenticaciÃ³n, es que cada vez que un usuario ingresa en una mÃ¡quina, se envÃa un hash del mapa <code class="filename">/etc/shadow</code> por la red. Si un intruso obtiene acceso a un dominio NIS y observa el trÃ¡fico en la red, puede recolectar los hashes de nombres de usuarios y contraseÃ±as. Con el tiempo suficiente, un programa de descifrado de contraseÃ±as puede adivinar aquellas que son dÃ©biles, y el atacante puede obtener acceso a una cuenta vÃ¡lida en esa red.
			</div><div class="para">
				Debido a que Kerberos utiliza encriptados con una clave secreta, nunca se envÃan hashes de contraseÃ±as sobre la red, haciendo que el sistema sea mÃ¡s seguro. Para obtener mayor informaciÃ³n acerca de Kerberos, vea la <a class="xref" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos">SecciÃ³nÂ 2.6, â€œKerberosâ€</a>.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NIS-Assign_Static_Ports_and_Use_iptables_Rules.html"><strong>Anterior</strong>2.2.3.4. Asigne puertos estÃ¡ticos y utilice regla...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_NFS.html"><strong>Siguiente</strong>2.2.4. Asegurando NFS</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_NIS-Use_a_Password_like_NIS_Domain_Name_and_Hostname.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.3.2. UtilizaciÃ³n de nombres de dominio y de equipo NIS, de modo similar a una contraseÃ±a</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_NIS.html" title="2.2.3. Asegurando NIS"/><link rel="prev" href="sect-Security_Guide-Server_Security-Securing_NIS.html" title="2.2.3. Asegurando NIS"/><link rel="next" href="sect-Security_Guide-Securing_NIS-Edit_the_varypsecurenets_File.html" title="2.2.3.3. Editar el archivo /var/yp/securenets"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.
 fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_NIS.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NIS-Edit_the_varypsecurenets_File.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.2.3.2. UtilizaciÃ³n de nombres de dominio y de equipo NIS, de modo similar a una contraseÃ±a"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_NIS-Use_a_Password_like_NIS_Domain_Name_and_Hostname">2.2.3.2. UtilizaciÃ³n de nombres de dominio y de equipo NIS, de modo similar a una contraseÃ±a</h4></div></div></div><div class="para">
				Cualquier equipo dentro de un dominio NIS puede utilizar comandos para obtener informaciÃ³n del servidor sin tener que autenticarse, siempre y cuando el usuario conozca tanto el nombre del equipo del servidor DNS y el nombre del dominio DNS.
			</div><div class="para">
				Por ejemplo, si alguien conecta una laptop en la red, o si irrumpe en ella desde el exterior (y se las ingenia para obtener una direcciÃ³n IP interna), los siguientes comandos muestran el mapa de <code class="command">/etc/passwd</code>:
			</div><pre class="screen">ypcat -d <em class="replaceable"><code><NIS_domain></code></em> -h <em class="replaceable"><code><DNS_hostname></code></em> passwd
</pre><div class="para">
				Si el atacante es un usuario root, puede obtener el archivo <code class="command">/etc/shadow</code> ingresando el siguiente comando:
			</div><pre class="screen">ypcat -d <em class="replaceable"><code><NIS_domain></code></em> -h <em class="replaceable"><code><DNS_hostname></code></em> shadow
</pre><div class="note"><h2>Nota</h2><div class="para">
					Si se utiliza Kerberos, el archivo <code class="command">/etc/shadow</code> no se encuentra almacenado dentro de un mapa NIS.
				</div></div><div class="para">
				Para hacer mÃ¡s complicado a los atacantes el acceso a los mapas NIS, genere una cadena aleatoria para el nombre del equipo DNS, como por ejemplo <code class="filename">o7hfawtgmhwg.domain.com</code>. De manera similar, genere aleatoriamente un nombre de dominio NIS <span class="emphasis"><em>distinto</em></span>. Esto hace que para un atacante sea mucho mÃ¡s dificil ingresar en el servidor NIS.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_NIS.html"><strong>Anterior</strong>2.2.3. Asegurando NIS</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NIS-Edit_the_varypsecurenets_File.html"><strong>Siguiente</strong>2.2.3.3. Editar el archivo /var/yp/securenets</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_Portmap-Protect_portmap_With_iptables.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.2.2. Proteja portmap con iptables</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_Portmap.html" title="2.2.2. Asegurando Portmap"/><link rel="prev" href="sect-Security_Guide-Server_Security-Securing_Portmap.html" title="2.2.2. Asegurando Portmap"/><link rel="next" href="sect-Security_Guide-Server_Security-Securing_NIS.html" title="2.2.3. Asegurando NIS"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Docume
 ntation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_Portmap.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_NIS.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.2.2.2. Proteja portmap con iptables"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_Portmap-Protect_portmap_With_iptables">2.2.2.2. Proteja portmap con iptables</h4></div></div></div><div class="para">
				Para restringir aÃºn mÃ¡s el acceso al servicio <code class="command">portmap</code>, es una buena idea agregar reglas de iptables al servidor y restringir el acceso a redes especÃficas.
			</div><div class="para">
				Abajo hay dos ejemplos de comandos iptables. El primero permite conexiones TCP al puerto 111 (usado por el servicio <code class="command">portmap</code>) desde la red 192.168.0.0/24. El segundo permite conexiones TCP al mismo puerto localmente. Esto es necesario para el servicio <code class="command">sgi_fam</code> usado por <span class="application"><strong>Nautilus</strong></span>. Todos los demÃ¡s paquetes son ignorados.
			</div><pre class="screen">iptables -A INPUT -p tcp -s! 192.168.0.0/24 --dport 111 -j DROP
iptables -A INPUT -p tcp -s 127.0.0.1  --dport 111 -j ACCEPT
</pre><div class="para">
				Para limitar el trÃ¡fico UDP de manera similar, use el siguiente comando.
			</div><pre class="screen">iptables -A INPUT -p udp -s! 192.168.0.0/24  --dport 111 -j DROP
</pre><div class="note"><h2>Nota</h2><div class="para">
					DirÃjase a la <a class="xref" href="sect-Security_Guide-Firewalls.html" title="2.8. Cortafuegos">SecciÃ³nÂ 2.8, â€œCortafuegosâ€</a> para mÃ¡s informaciÃ³n acerca de implementar cortafuegos con comandos de iptables.
				</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_Portmap.html"><strong>Anterior</strong>2.2.2. Asegurando Portmap</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_NIS.html"><strong>Siguiente</strong>2.2.3. Asegurando NIS</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_Sendmail-Mail_only_Users.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.7.3. Usuarios de sÃ³lo correo</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_Sendmail.html" title="2.2.7. Asegurando Sendmail"/><link rel="prev" href="sect-Security_Guide-Securing_Sendmail-NFS_and_Sendmail.html" title="2.2.7.2. NFS y Sendmail"/><link rel="next" href="sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening.html" title="2.2.8. Verificar quÃ© puertos estÃ¡n abiertos"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Commo
 n_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_Sendmail-NFS_and_Sendmail.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.2.7.3. Usuarios de sÃ³lo correo"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_Sendmail-Mail_only_Users">2.2.7.3. Usuarios de sÃ³lo correo</h4></div></div></div><div class="para">
				Para ayudar a prevenir que explote a los usuarios locales para usar el servidor Sendmail, lo mejor es que solamente ingresen al servidor Sendmail usando un cliente de correos electrÃ³nicos. Las cuentas de consola en el servidor de correo no deberÃan ser permitidas y todos los usuarios de consola en el archivo <code class="filename">/etc/passwd</code> deberÃan definirse como <code class="command">/sbin/nologin</code> (con la posible excepciÃ³n del usuario root).
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_Sendmail-NFS_and_Sendmail.html"><strong>Anterior</strong>2.2.7.2. NFS y Sendmail</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening.html"><strong>Siguiente</strong>2.2.8. Verificar quÃ© puertos estÃ¡n abiertos</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_Sendmail-NFS_and_Sendmail.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.7.2. NFS y Sendmail</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_Sendmail.html" title="2.2.7. Asegurando Sendmail"/><link rel="prev" href="sect-Security_Guide-Server_Security-Securing_Sendmail.html" title="2.2.7. Asegurando Sendmail"/><link rel="next" href="sect-Security_Guide-Securing_Sendmail-Mail_only_Users.html" title="2.2.7.3. Usuarios de sÃ³lo correo"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt=
 "Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_Sendmail.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_Sendmail-Mail_only_Users.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.2.7.2. NFS y Sendmail"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_Sendmail-NFS_and_Sendmail">2.2.7.2. NFS y Sendmail</h4></div></div></div><div class="para">
				Nunca coloque el directorio mail spool, <code class="filename">/var/spool/mail/</code>, en un volumen NFS compartido.
			</div><div class="para">
				Debido a que NFSv2 y NFSv3 no tienen control sobre usuarios ni IDs de grupos, dos o mÃ¡s usuarios pueden tener el mismo UID, y recibir y leer cada uno correos electrÃ³nicos del otro.
			</div><div class="note"><h2>Nota</h2><div class="para">
					Con NFSv4 utilizando Kerberos este no es el caso, ya que el mÃ³dulo del kernel <code class="filename">SECRPC_GSS</code> no utiliza autenticaciones basadas en UID. Sin embargo, todavÃa hoy es considerada una buena costumbre la de <span class="emphasis"><em>no</em></span> colocar el directorio mail spool en volÃºmenes NFS compartidos.
				</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_Sendmail.html"><strong>Anterior</strong>2.2.7. Asegurando Sendmail</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_Sendmail-Mail_only_Users.html"><strong>Siguiente</strong>2.2.7.3. Usuarios de sÃ³lo correo</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Security_Updates.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.5. Actualizaciones de seguridad</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Security_Overview.html" title="CapÃtulo 1. Repaso sobre seguridad"/><link rel="prev" href="sect-Security_Guide-Common_Exploits_and_Attacks.html" title="1.4. Ataques y debilidades comunes"/><link rel="next" href="sect-Security_Guide-Updating_Packages-Verifying_Signed_Packages.html" title="1.5.2. VerificaciÃ³n de paquetes firmados"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/image
 s/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Common_Exploits_and_Attacks.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Updating_Packages-Verifying_Signed_Packages.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="section" title="1.5. Actualizaciones de seguridad"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Security_Updates">1.5. Actualizaciones de seguridad</h2></div></div></div><div class="para">
		A medida que las deficiencias en la seguridad se van descubriendo, el software involucrado debe ser actualizado, y limitar asÃ cualquier tipo de potencial riesgo. Si el software es parte de un paquete contenido en la distribuciÃ³n Fedora entonces soportada, Fedora estÃ¡ comprometida a liberar lo antes posible las actualizaciones necesarias para solucionar las deficiencias del paquete en cuestiÃ³n. A menudo, los anuncios sobre alguna imperfecciÃ³n en algÃºn aspecto de la seguridad son acompaÃ±ados de un parche (o cÃ³digo fuente que solucione el problema). Este parche es entonces aplicado al paquete de Fedora, probado y liberado como una actualizaciÃ³n considerada de tipo errata. Sin embargo, si algÃºn anuncio no incluye un parche, el desarrollador trabaja primero con el encargado del software para poder solucionar el problema. Una vez que el problema haya sido resuelto, el paquete es probado y liberado como una actualizaciÃ³n de tipo errata.
	</div><div class="para">
		Si se lanza una errata de actualizaciÃ³n del software de su sistema, es altamente recomendado actualizar los paquetes involucrados tan pronto como sea posible para minimizar la cantidad de tiempo en que el sistema es potencialmente vulnerable.
	</div><div class="section" title="1.5.1. ActualizaciÃ³n de paquetes"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Security_Updates-Updating_Packages">1.5.1. ActualizaciÃ³n de paquetes</h3></div></div></div><div class="para">
			Cuando se actualiza el software de un sistema, es importante descargar la actualizaciÃ³n desde una fuente confiable. Un atacante fÃ¡cilmente puede recompilar un paquete con el mismo nÃºmero de versiÃ³n que el que supuestamente deberÃa solucionar el problema, pero con una nueva falla, y liberarlo en Internet. Si esto sucede, utilizar medidas de seguridad como archivos verificadores contra el RPM original, tampoco va a detectar la nueva falla. Sin embargo, es muy importante descargar RPMs solo desde fuentes confiables, como por ejemplo desde Fedora, y verificar la firma del paquete para confirmar su integridad.
		</div><div class="note"><h2>Nota</h2><div class="para">
				Fedora incluye un Ãcono en panel que muestra una alerta cada vez que exista una actualizaciÃ³n disponible para el sistema.
			</div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Common_Exploits_and_Attacks.html"><strong>Anterior</strong>1.4. Ataques y debilidades comunes</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Updating_Packages-Verifying_Signed_Packages.html"><strong>Siguiente</strong>1.5.2. VerificaciÃ³n de paquetes firmados</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Server_Security-Securing_FTP.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.6. Asegurando FTP</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Server_Security.html" title="2.2. Seguridad del servidor"/><link rel="prev" href="sect-Security_Guide-Server_Security-Securing_the_Apache_HTTP_Server.html" title="2.2.5. Asegurando el servidor HTTP Apache"/><link rel="next" href="sect-Security_Guide-Securing_FTP-Anonymous_Access.html" title="2.2.6.2. Acceso anÃ³nimo"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Do
 cumentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_the_Apache_HTTP_Server.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_FTP-Anonymous_Access.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.2.6. Asegurando FTP"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Server_Security-Securing_FTP">2.2.6. Asegurando FTP</h3></div></div></div><div class="para">
			El <em class="firstterm">Protocolo de Transferencia de Archivos</em> (<abbr class="abbrev">FTP</abbr>, por las iniciales en inglÃ©s de File Transfer Protocol), es un viejo protocolo TCP diseÃ±ado para transferir archivos sobre una red. Puesto que todas las transacciones con el servidor no son encriptadas, incluyendo las autenticaciones de usuario, es considerado un protocolo no seguro y deberÃa ser configurado cuidadosamente.
		</div><div class="para">
			Fedora provee tres servidores FTP.
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					<code class="command">gssftpd</code> â€” Un demonio basado en <code class="command">xinetd</code> con soporte para Kerberos que no transmite informaciones de autenticaciÃ³n sobre la red.
				</div></li><li class="listitem"><div class="para">
					<span class="application"><strong>Acelerador de Contenido de Red Hat</strong></span> (<code class="command">tux</code>) â€” Un servidor web en el espacio del kernel con capacidades FTP.
				</div></li><li class="listitem"><div class="para">
					<code class="command">vsftpd</code> â€” Una implementaciÃ³n orientada a la seguridad del servicio FTP.
				</div></li></ul></div><div class="para">
			Los siguientes lineamientos de seguridad sirven para configurar el servicio FTP <code class="command">vsftpd</code>.
		</div><div class="section" title="2.2.6.1. Mensaje de bienvenida de FTP"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_FTP-FTP_Greeting_Banner">2.2.6.1. Mensaje de bienvenida de FTP</h4></div></div></div><div class="para">
				Antes de enviar un nombre de usuario y una contraseÃ±a, todos los usuarios son recibidos con una imagen de bienvenida. Por defecto, esta imagen incluye la informaciÃ³n de la versiÃ³n que se estÃ¡ utilizando, informaciÃ³n que sirve a los atacantes para poder identificar debilidades en el sistema.
			</div><div class="para">
				Para modificar la imagen de bienvenida para <code class="command">vsftpd</code>, agregue la siguiente directiva en el archivo <code class="filename">/etc/vsftpd/vsftpd.conf</code>:
			</div><pre class="screen">ftpd_banner=<em class="replaceable"><code><insert_greeting_here></code></em>
</pre><div class="para">
				En la directiva indicada reciÃ©n, sustituya <em class="replaceable"><code><insert_greeting_here></code></em> con el texto del mensaje de bienvenida.
			</div><div class="para">
				Para imÃ¡genes con varias lÃneas, lo mejor es utilizar un archivo de imagen. Para simplificar la administraciÃ³n de mÃºltiples imÃ¡genes, coloquelas a todas ellas en un nuevo directorio llamado <code class="filename">/etc/banners/</code>. En nuestro ejemplo, el archivo de imagen para conexiones FTP es <code class="filename">/etc/banners/ftp.msg</code>. A continuaciÃ³n se puede observar cÃ³mo puede llegar a lucir un archivo con esstas caracterÃsticas:
			</div><pre class="screen">######### # Hola, cualquier tipo de actividad dentro de ftp.ejemplo.com es registrada. #########
</pre><div class="note"><h2>Nota</h2><div class="para">
					No es necesario empezar cada lÃnea del archivo con <code class="command">220</code>, como se lo indica en la <a class="xref" href="sect-Security_Guide-Server_Security.html#sect-Security_Guide-Enhancing_Security_With_TCP_Wrappers-TCP_Wrappers_and_Connection_Banners" title="2.2.1.1.1. Encapsuladores TCP y pancartas de conexiÃ³n">SecciÃ³nÂ 2.2.1.1.1, â€œEncapsuladores TCP y pancartas de conexiÃ³nâ€</a>.
				</div></div><div class="para">
				Para tener una referencia de esta imagen de bienvenida en <code class="command">vsftpd</code>, aÃ±ada la siguiente directiva en el archivo <code class="filename">/etc/vsftpd/vsftpd.conf</code>:
			</div><pre class="screen">banner_file=/etc/banners/ftp.msg
</pre><div class="para">
				TambiÃ©n es posible enviar imÃ¡genes adicionales a conexiones entrantes utilizando encapsuladores TCP como se explica en la <a class="xref" href="sect-Security_Guide-Server_Security.html#sect-Security_Guide-Enhancing_Security_With_TCP_Wrappers-TCP_Wrappers_and_Connection_Banners" title="2.2.1.1.1. Encapsuladores TCP y pancartas de conexiÃ³n">SecciÃ³nÂ 2.2.1.1.1, â€œEncapsuladores TCP y pancartas de conexiÃ³nâ€</a>.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_the_Apache_HTTP_Server.html"><strong>Anterior</strong>2.2.5. Asegurando el servidor HTTP Apache</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_FTP-Anonymous_Access.html"><strong>Siguiente</strong>2.2.6.2. Acceso anÃ³nimo</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Server_Security-Securing_NFS.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.4. Asegurando NFS</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Server_Security.html" title="2.2. Seguridad del servidor"/><link rel="prev" href="sect-Security_Guide-Securing_NIS-Use_Kerberos_Authentication.html" title="2.2.3.5. Use autenticaciÃ³n con Kerberos"/><link rel="next" href="sect-Security_Guide-Securing_NFS-Beware_of_Syntax_Errors.html" title="2.2.4.2. Cuidado con los errores de sintaxis"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image
 _right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NIS-Use_Kerberos_Authentication.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NFS-Beware_of_Syntax_Errors.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.2.4. Asegurando NFS"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Server_Security-Securing_NFS">2.2.4. Asegurando NFS</h3></div></div></div><div class="important"><h2>Importante</h2><div class="para">
				La versiÃ³n de NFS incluida en Fedora, NFSv4, ya no necesita el servicio <code class="command">portmap</code> como se lo indica en la <a class="xref" href="sect-Security_Guide-Server_Security-Securing_Portmap.html" title="2.2.2. Asegurando Portmap">SecciÃ³nÂ 2.2.2, â€œAsegurando Portmapâ€</a>. El trÃ¡fico NFS, en lugar de UDP ahora utiliza TCP para todas sus versiones, y lo solicita al utilizar NFSv4. NFSv4 ahora incluye autenticaciÃ³n Kerberos para grupos y usuarios, como parte del mÃ³dulo del kernel <code class="filename">RPCSEC_GSS</code>. Sigue existinedo informaciÃ³n incluida acerca de <code class="command">portmap</code>, desde que Fedora tiene soporte para NFSv2 y NFSv3, ya que ambos utilizan <code class="command">portmap</code>.
			</div></div><div class="section" title="2.2.4.1. Planeamiento cuidadoso de la red"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_NFS-Carefully_Plan_the_Network">2.2.4.1. Planeamiento cuidadoso de la red</h4></div></div></div><div class="para">
				Ahora que NFSv4 tiene la capacidad de enviar toda la informaciÃ³n en la red encriptada utilizando Kerberos, es importante que el servicio sea configurado correctamente, si es que se encuentra detrÃ¡s de un cortafuegos o en una red segmentada. TodavÃa NFSv3 envÃa los datos de manera no segura, y esto deberÃa ser tendido en cuenta. Un diseÃ±o de redes que preste atenciÃ³n a todos estos aspectos puede prevenir fallas en la seguridad.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NIS-Use_Kerberos_Authentication.html"><strong>Anterior</strong>2.2.3.5. Use autenticaciÃ³n con Kerberos</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NFS-Beware_of_Syntax_Errors.html"><strong>Siguiente</strong>2.2.4.2. Cuidado con los errores de sintaxis</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Server_Security-Securing_NIS.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.3. Asegurando NIS</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Server_Security.html" title="2.2. Seguridad del servidor"/><link rel="prev" href="sect-Security_Guide-Securing_Portmap-Protect_portmap_With_iptables.html" title="2.2.2.2. Proteja portmap con iptables"/><link rel="next" href="sect-Security_Guide-Securing_NIS-Use_a_Password_like_NIS_Domain_Name_and_Hostname.html" title="2.2.3.2. UtilizaciÃ³n de nombres de dominio y de equipo NIS, de modo similar a una contraseÃ±a"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="rig
 ht" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_Portmap-Protect_portmap_With_iptables.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NIS-Use_a_Password_like_NIS_Domain_Name_and_Hostname.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.2.3. Asegurando NIS"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Server_Security-Securing_NIS">2.2.3. Asegurando NIS</h3></div></div></div><div class="para">
			El servicio de informaciÃ³n de red (<em class="firstterm">Network Information Service</em>, <acronym class="acronym">NIS</acronym>) es un servicio RPC, llamado <code class="command">ypserv</code>, el cual es usado en conjunto con <code class="command">portmap</code> y otros servicios relacionados para distribuir mapas de nombres de usuario, contraseÃ±as y otros tipos de informaciÃ³n sensible dentro de su propio dominio.
		</div><div class="para">
			Un servidor NIS estÃ¡ compuesto por diversas aplicaciones. Entre ellas podemos encontrar:
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					<code class="command">/usr/sbin/rpc.yppasswdd</code> â€” TambiÃ©n denominado servicio <code class="command">yppasswdd</code>. Este demonio permite que los usuarios modifiquen sus contraseÃ±as NIS.
				</div></li><li class="listitem"><div class="para">
					<code class="command">/usr/sbin/rpc.ypxfrd</code> â€” TambiÃ©n denominado servicio <code class="command">ypxfrd</code>. Este demonio es el responsable de las transferencias de mapas NIS sobre la red.
				</div></li><li class="listitem"><div class="para">
					<code class="command">/usr/sbin/yppush</code> â€” Esta aplicaciÃ³n se encarga de distribuir las bases de datos NIS que han sido modificadas hacia diferentes servidores NIS.
				</div></li><li class="listitem"><div class="para">
					<code class="command">/usr/sbin/ypserv</code> â€” Este es el demonio del servidor NIS.
				</div></li></ul></div><div class="para">
			De acuerdo a los estÃ¡ndares actuales, NIS estÃ¡ considerado como un mÃ©todo inseguro. No tiene mecanismos de autenticaciÃ³n y toda la informaciÃ³n que transmite por la red viaja sin ser encriptada, incluyendo los hashes de las contraseÃ±as. Es por esto que hay que tomar todas las precauciones posibles cuando se configure una red que utilice NIS. Esto se complica aÃºn mÃ¡s por el hecho que la configuraciÃ³n establecida por defecto de NIS es en si misma insegura.
		</div><div class="para">
			Se recomienda a todo aquel que tenga intenciones de implementar un servidor NIS, que primero asegure el servicio <code class="command">portmap</code> (como se puede observar en la <a class="xref" href="sect-Security_Guide-Server_Security-Securing_Portmap.html" title="2.2.2. Asegurando Portmap">SecciÃ³nÂ 2.2.2, â€œAsegurando Portmapâ€</a>), y que luego continÃºe con los siguientes eventos, como la planificaciÃ³n de la red.
		</div><div class="section" title="2.2.3.1. Planeamiento cuidadoso de la red"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_NIS-Carefully_Plan_the_Network">2.2.3.1. Planeamiento cuidadoso de la red</h4></div></div></div><div class="para">
				Debido a que NIS transmite sin encriptar informaciÃ³n clave a travÃ©s de la red, es importante que el servicio sea ejecutado detrÃ¡s de un cortafuegos y sobre una porciÃ³n de la red definida y considerada segura. Existen riegos de intercepciÃ³n cada vez que se transmite informaciÃ³n NIS sobre una red que no es segura. Un cuidadoso diseÃ±o de la red puede ayudar a prevenir importantes intrusiones en la seguridad.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_Portmap-Protect_portmap_With_iptables.html"><strong>Anterior</strong>2.2.2.2. Proteja portmap con iptables</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NIS-Use_a_Password_like_NIS_Domain_Name_and_Hostname.html"><strong>Siguiente</strong>2.2.3.2. UtilizaciÃ³n de nombres de dominio y de e...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Server_Security-Securing_Portmap.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.2. Asegurando Portmap</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Server_Security.html" title="2.2. Seguridad del servidor"/><link rel="prev" href="sect-Security_Guide-Server_Security.html" title="2.2. Seguridad del servidor"/><link rel="next" href="sect-Security_Guide-Securing_Portmap-Protect_portmap_With_iptables.html" title="2.2.2.2. Proteja portmap con iptables"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation 
 Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_Portmap-Protect_portmap_With_iptables.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.2.2. Asegurando Portmap"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Server_Security-Securing_Portmap">2.2.2. Asegurando Portmap</h3></div></div></div><div class="para">
			El servicio <code class="command">portmap</code> es un demonio de asignaciÃ³n dinÃ¡mica de puertos para servicios RPC como NIS y NFS. Tiene mecanismos dÃ©biles de autenticaciÃ³n y tiene la habilidad de asignar un amplio rango de puertos para los servicios que controla. Por estas razones, es difÃcil de asegurar.
		</div><div class="note"><h2>Nota</h2><div class="para">
				Asegurar <code class="command">portmap</code> solo afecta a las implementaciones NFSv2 y NFSv3, ya que desde NFSv4 ya no es requerido. Si usted planea implementar un servidor NFSv2 o NFSv3, entonces <code class="command">portmap</code> es requerido, y la siguiente secciÃ³n aplica.
			</div></div><div class="para">
			Si corre servicios RPC, obedezca estas reglas bÃ¡sicas.
		</div><div class="section" title="2.2.2.1. Proteja portmap con encapsuladores TCP"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_Portmap-Protect_portmap_With_TCP_Wrappers">2.2.2.1. Proteja portmap con encapsuladores TCP</h4></div></div></div><div class="para">
				Es importante usar encapsuladores TCP para limitar quÃ© redes o equipos tienen acceso al servicio <code class="command">portmap</code> dado que no tiene una forma propia de autenticaciÃ³n.
			</div><div class="para">
				AdemÃ¡s, use <span class="emphasis"><em>solamente</em></span> direcciones IP cuando limite el acceso al servicio. Evite usar nombres de equipos, ya que pueden ser forjados por envenenamiento de DNS y otros mÃ©todos.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security.html"><strong>Anterior</strong>2.2. Seguridad del servidor</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_Portmap-Protect_portmap_With_iptables.html"><strong>Siguiente</strong>2.2.2.2. Proteja portmap con iptables</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Server_Security-Securing_Sendmail.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.7. Asegurando Sendmail</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Server_Security.html" title="2.2. Seguridad del servidor"/><link rel="prev" href="sect-Security_Guide-Securing_FTP-Use_TCP_Wrappers_To_Control_Access.html" title="2.2.6.4. Utilice encapsuladores TCP para el control de acceso"/><link rel="next" href="sect-Security_Guide-Securing_Sendmail-NFS_and_Sendmail.html" title="2.2.7.2. NFS y Sendmail"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/im
 ages/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_FTP-Use_TCP_Wrappers_To_Control_Access.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_Sendmail-NFS_and_Sendmail.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.2.7. Asegurando Sendmail"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Server_Security-Securing_Sendmail">2.2.7. Asegurando Sendmail</h3></div></div></div><div class="para">
			Sendmail es un agente de transferencia de correos (MTA, por las iniciales en inglÃ©s de Mail Transfer Agent), que utiliza protocolo simple de transferencia de correo (SMTP, Simple Mail Transfer Protocol) para enviar mensajes electrÃ³nicos entre otros MTAs, o hacia otros clientes de correo, o agentes de entrega. Si bien muchos MTAs son capaces de encriptar el trÃ¡fico entre uno y otro, algunos no lo hacen, de modo que enviar correos electrÃ³nicos en una red pÃºblica es considerado una forma de comunicaciÃ³n no segura.
		</div><div class="para">
			Es recomendable que todos aquellos que estÃ©n planeando implementar un servidor Sendmail, tengan en cuenta los siguientes inconvenientes.
		</div><div class="section" title="2.2.7.1. Limitar un ataque de denegaciÃ³n de servicio"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_Sendmail-Limiting_a_Denial_of_Service_Attack">2.2.7.1. Limitar un ataque de denegaciÃ³n de servicio</h4></div></div></div><div class="para">
				Debido a la naturaleza del correo electrÃ³nico, un atacante determinado puede inundar de manera relativamente sencilla el servidor con correos, y provocar la denegaciÃ³n del servicio. Al establecer lÃmites a las siguientes directivas en <code class="filename">/etc/mail/sendmail.mc</code>, la efectividad de ataques de ese tipo se ve disminuida.
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<code class="command">confCONNECTION_RATE_THROTTLE</code> â€” El nÃºmero de conexiones que el servidor puede recibir por segundo. Por defecto, Sendmail no limita el nÃºmero de conexiones. Si se alcanza un lÃmite previamente establecido, las siguientes conexiones son demoradas.
					</div></li><li class="listitem"><div class="para">
						<code class="command">confMAX_DAEMON_CHILDREN</code> â€” El mÃ¡ximo nÃºmero de procesos hijo que pueden ser generados por el servidor. Por defecto, Sedmail no atribuye un lÃmite a la cantidad de estos procesos. Si se alcanza un lÃmite previamente establecido, las siguientes conexiones serÃ¡n demoradas.
					</div></li><li class="listitem"><div class="para">
						<code class="command">confMIN_FREE_BLOCKS</code> â€” El nÃºmero mÃnimo de bloques libres que deben estar disponibles para que el servidor acepte correos. La cantidad establecida por defecto es de 100 bloques.
					</div></li><li class="listitem"><div class="para">
						<code class="command">confMAX_HEADERS_LENGTH</code> â€” El tamaÃ±o mÃ¡ximo aceptable (en bytes) para un encabezado de mensaje.
					</div></li><li class="listitem"><div class="para">
						<code class="command">confMAX_MESSAGE_SIZE</code> â€” El tamaÃ±o mÃ¡ximo aceptable (en bytes) para un solo mensaje.
					</div></li></ul></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_FTP-Use_TCP_Wrappers_To_Control_Access.html"><strong>Anterior</strong>2.2.6.4. Utilice encapsuladores TCP para el contr...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_Sendmail-NFS_and_Sendmail.html"><strong>Siguiente</strong>2.2.7.2. NFS y Sendmail</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Server_Security-Securing_the_Apache_HTTP_Server.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.5. Asegurando el servidor HTTP Apache</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Server_Security.html" title="2.2. Seguridad del servidor"/><link rel="prev" href="sect-Security_Guide-Securing_NFS-NFS_Firewall_Configuration.html" title="2.2.4.4. ConfiguraciÃ³n del cortafuego de NFS"/><link rel="next" href="sect-Security_Guide-Server_Security-Securing_FTP.html" title="2.2.6. Asegurando FTP"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.
 png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NFS-NFS_Firewall_Configuration.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_FTP.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.2.5. Asegurando el servidor HTTP Apache"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Server_Security-Securing_the_Apache_HTTP_Server">2.2.5. Asegurando el servidor HTTP Apache</h3></div></div></div><div class="para">
			El servidor HTTP Apache es uno de los servicios mÃ¡s seguros y estables que son empaquetados con Fedora. Una extensa variedad de opciones y tÃ©cnicas estÃ¡n disponibles para asegurar el servidor HTTP Apache â€” demasiado numerosas para analizarlas en profundidad aquÃ. La secciÃ³n siguiente explica brevemente algunas buenas costumbres al ejecutar el servidor HTTP Apache.
		</div><div class="para">
			Siempre verifique que funcione correctamente cualquier programa que tenga intenciÃ³n de utilizar en el sistema <span class="emphasis"><em>antes</em></span> de ponerlo en producciÃ³n. AdemÃ¡s, asegÃºrese que solo el usuario root tenga permisos de escritura sobre cualquier directorio que contenga programas o CGIs. Para hacer esto, ejecute los siguientes comandos como usuario root:
		</div><div class="orderedlist"><ol><li class="listitem"><pre class="screen">chown root <em class="replaceable"><code><nombre_de_directorio></code></em>
</pre></li><li class="listitem"><pre class="screen">chmod 755 <em class="replaceable"><code><nombre_de_directorio></code></em>
</pre></li></ol></div><div class="para">
			Los administradores de sistemas deben ser cuidadosos al utilizar las siguientes opciones de configuraciÃ³n (definidas en <code class="filename">/etc/httpd/conf/httpd.conf</code>):
		</div><div class="variablelist"><dl><dt><span class="term"><code class="option">FollowSymLinks</code></span></dt><dd><div class="para">
						Esta directiva se encuentra activa por defecto, de modo que tenga cuidado al crear enlaces simbÃ³licos al documento raÃz del servidor Web. Por ejemplo, es una mala idea la de adjudicarle un enlace simbÃ³lico a <code class="filename">/</code>.
					</div></dd><dt><span class="term"><code class="option">Indexes</code></span></dt><dd><div class="para">
						Esta directiva estÃ¡ activa por defecto, pero puede no ser deseada. ElimÃnela si quiere evitar que los visitantes puedan examinar los archivos del servidor.
					</div></dd><dt><span class="term"><code class="option">UserDir</code></span></dt><dd><div class="para">
						La directiva <code class="option">UserDir</code> se encuentra deshabilitada por defecto, debido a que puede confirmar la presencia de una cuenta de usuario en el sistema. Para permitir que se examinen directorios de usuario en el servidor, utilice las siguientes directivas:
					</div><div class="para">

<pre class="screen">UserDir enabled
UserDir disabled root
</pre>
					</div><div class="para">
						Estas directivas activan la posibilidad de analizar directorios de usuario para todos los directorios de usuarios que no sean <code class="filename">/root/</code>. Para aÃ±adir usuarios a la lista de las cuentas desactivadas, aÃ±ada a esos usuarios en una lista separada por espacios en la lÃnea <code class="option">UserDir disabled</code>.
					</div></dd></dl></div><div class="important"><h2>Importante</h2><div class="para">
				No elimine la directiva <code class="option">IncludesNoExec</code>. Por defecto, el mÃ³dulo <em class="firstterm">Server-Side Includes</em> (<abbr class="abbrev">SSI</abbr>) no puede ejecutar comandos. Se recomienda no cambiar estas configuraciones a no ser que sea absolutamente necesario, ya que potencialmente podrÃa permitir que un atacante ejecute comandos en el sistema.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NFS-NFS_Firewall_Configuration.html"><strong>Anterior</strong>2.2.4.4. ConfiguraciÃ³n del cortafuego de NFS</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_FTP.html"><strong>Siguiente</strong>2.2.6. Asegurando FTP</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.8. Verificar quÃ© puertos estÃ¡n abiertos</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Server_Security.html" title="2.2. Seguridad del servidor"/><link rel="prev" href="sect-Security_Guide-Securing_Sendmail-Mail_only_Users.html" title="2.2.7.3. Usuarios de sÃ³lo correo"/><link rel="next" href="sect-Security_Guide-Single_Sign_on_SSO.html" title="2.3. IdentificaciÃ³n Ãºnica (SSO, por las iniciales en inglÃ©s de Single Sign-on)"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src
 ="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_Sendmail-Mail_only_Users.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Single_Sign_on_SSO.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.2.8. Verificar quÃ© puertos estÃ¡n abiertos"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening">2.2.8. Verificar quÃ© puertos estÃ¡n abiertos</h3></div></div></div><div class="para">
			Luego de configurar los servicios de red, es importante prestarle atenciÃ³n a los puertos que actualmente estÃ¡n escuchando en las interfases de red del sistema. Cualquier puerto abierto puede ser la evidencia de una intrusiÃ³n.
		</div><div class="para">
			Existen dos maneras fundamentales para listar los puertos que estÃ¡n abiertos en la red. La menos confiable consiste en consultar los paquetes en la red utilizando comandos como <code class="command">netstat -an</code> o <code class="command">lsof -i</code>. Este mÃ©todo es menos confiable debido a que estos programas no se conectan a la mÃ¡quina desde la red, sino que verifican quÃ© es lo que se estÃ¡ ejecutando en el sistema. Por esta razÃ³n, estas aplicaciones frecuentemente son reemplazadas por atacantes. Alguien que quiera ocultar el rastro que estÃ¡ dejando al ingresar, o al abrir sin autorizaciÃ³n los puertos de un sistema, intentarÃ¡ reemplazar <code class="command">netstat</code> y <code class="command">lsof</code>, con sus versiones personales y modificadas.
		</div><div class="para">
			Una forma mÃ¡s confiable de verificar los puertos que estÃ¡n escuchando en una red, es mediante la utilizaciÃ³n de un escÃ¡ner de puertos como <code class="command">nmap</code>.
		</div><div class="para">
			El siguiente comando ejecutado desde una terminal, especifica los puertos que se encuentran abiertos a conexiones TCP desde la red:
		</div><pre class="screen">nmap -sT -O localhost
</pre><div class="para">
			La salida de este comando es la siguiente:
		</div><pre class="screen">Starting Nmap 4.68 ( http://nmap.org ) at 2009-03-06 12:08 EST
Interesting ports on localhost.localdomain (127.0.0.1):
Not shown: 1711 closed ports
PORT      STATE SERVICE
22/tcp    open  ssh 
25/tcp    open  smtp
111/tcp   open  rpcbind
113/tcp   open  auth
631/tcp   open  ipp
834/tcp   open  unknown
2601/tcp  open  zebra
32774/tcp open  sometimes-rpc11
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.24
Uptime: 4.122 days (since Mon Mar  2 09:12:31 2009)
Network Distance: 0 hops
OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 1.420 seconds
</pre><div class="para">
			Esta salida muestra que el sistema estÃ¡ ejecutando <code class="command">portmap</code> debido a la presencia del servicio <code class="computeroutput">sunrpc</code>. Sin embargo, existe ademÃ¡s un servicio misterioso en el puerto 834. Para verificar si el puerto estÃ¡ asociado con la lista oficial de servicios conocidos, ingrese:
		</div><pre class="screen">cat /etc/services | grep 834
</pre><div class="para">
			Este comando no devuelve ninguna informaciÃ³n. Lo que estÃ¡ indicando es que si bien el puerto se encuentra dentro del rango reservado (es decir, entre 0 y 1023), y que no necesita privilegios de usuario root para abrirse, sin embargo no estÃ¡ asociado con ningÃºn servicio conocido.
		</div><div class="para">
			A continuaciÃ³n, verifique si existe informaciÃ³n acerca del puerto utilizando <code class="command">netstat</code> o <code class="command">lsof</code>. Para verificar el puerto 834 utilizando <code class="command">netstat</code>, ingrese el siguiente comando:
		</div><pre class="screen">netstat -anp | grep 834
</pre><div class="para">
			El comando devuelve la siguiente salida:
		</div><pre class="screen">tcp   0    0 0.0.0.0:834    0.0.0.0:*   LISTEN   653/ypbind
</pre><div class="para">
			La presencia de un puerto abierto en <code class="command">netstat</code> es un reaseguro, ya que si un atacante ha abierto un puerto en un sistema en el que no estÃ¡ autorizado a ingresar, seguramente no permitirÃ¡ que sea detectada su presencia mediante este comando. AdemÃ¡s, la opciÃ³n <code class="option">[p]</code> revela el proceso ID (PID) del servicio que ha abierto el puerto. En este caso, el puerto abierto pertenece a <code class="command">ypbind</code> (<abbr class="abbrev">NIS</abbr>), que es un servicio <abbr class="abbrev">RPC</abbr> administrado conjuntamente con el servicio <code class="command">portmap</code>.
		</div><div class="para">
			El comando <code class="command">lsof</code> muestra informaciÃ³n similar a <code class="command">netstat</code>, ya que tambiÃ©n es capaz de enlazar puertos con servicios:
		</div><pre class="screen">lsof -i | grep 834
</pre><div class="para">
			La secciÃ³n que nos interesa de la salida de este comando es la siguiente:
		</div><pre class="screen">ypbind      653        0    7u  IPv4       1319                 TCP *:834 (LISTEN)
ypbind      655        0    7u  IPv4       1319                 TCP *:834 (LISTEN)
ypbind      656        0    7u  IPv4       1319                 TCP *:834 (LISTEN)
ypbind      657        0    7u  IPv4       1319                 TCP *:834 (LISTEN)
</pre><div class="para">
			Estas herramientas nos dicen mucho acerca del estado en que se encuentran los servicios en ejecuciÃ³n de una mÃ¡quina. Estas herramientas son flexibles y pueden ofrecer una importante cantidad de informaciÃ³n acerca de los servicios de red y sus configuraciones. Para obtener mÃ¡s informacuiÃ³n, vea las pÃ¡ginas man de <code class="command">lsof</code>, <code class="command">netstat</code>, <code class="command">nmap</code>, y <code class="filename">services</code>.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_Sendmail-Mail_only_Users.html"><strong>Anterior</strong>2.2.7.3. Usuarios de sÃ³lo correo</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Single_Sign_on_SSO.html"><strong>Siguiente</strong>2.3. IdentificaciÃ³n Ãºnica (SSO, por las iniciales...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Server_Security.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2. Seguridad del servidor</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Securing_Your_Network.html" title="CapÃtulo 2. Asegurando su Red"/><link rel="prev" href="chap-Security_Guide-Securing_Your_Network.html" title="CapÃtulo 2. Asegurando su Red"/><link rel="next" href="sect-Security_Guide-Server_Security-Securing_Portmap.html" title="2.2.2. Asegurando Portmap"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/
 ></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-Securing_Your_Network.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_Portmap.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="section" title="2.2. Seguridad del servidor"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Server_Security">2.2. Seguridad del servidor</h2></div></div></div><div class="para">
		Cuando un sistema es utilizado como servidor en una red pÃºblica, se convierte en el objetivo de los ataques. Por lo tanto, robustecer el sistema y desconectar los servicios es de importancia suprema para el administrador del sistema.
	</div><div class="para">
		Antes de profundizar en problemas especÃficos, recuerde los siguientes consejos generales para fortalecer la seguridad de los servidores:
	</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
				Mantenga todos los servicios actualizados, para protegerse contra las Ãºltimas amenazas.
			</div></li><li class="listitem"><div class="para">
				Siempre que sea posible, utilice protocolos seguros.
			</div></li><li class="listitem"><div class="para">
				Siempre que sea posible, ofrezca sÃ³lo un tipo de servicio de red por mÃ¡quina.
			</div></li><li class="listitem"><div class="para">
				Observe cuidadosamente a todos los servidores en busca de actividad sospechosa.
			</div></li></ul></div><div class="section" title="2.2.1. Asegurando los servicios con encapsuladores TCP y xinetd"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Server_Security-Securing_Services_With_TCP_Wrappers_and_xinetd">2.2.1. Asegurando los servicios con encapsuladores TCP y xinetd</h3></div></div></div><div class="para">
			Los <em class="firstterm">encapsuladores TCP</em> ofrecen control de acceso para una variedad de servicios. Muchos de los servicios de red modernos, como SSH, Telnet, y FTP, utilizan encapsuladores TCP, quienes hacen de guardianes entre la peticiÃ³n entrante y el servicio solicitado.
		</div><div class="para">
			Los beneficios que ofrecen los encapsuladores TCP se potencian si se utilizan junto a <code class="command">xinetd</code>, un super servidor que ofrece acceso adicional, registrado, vinculaciÃ³n, redireccionamiento y control de la utilizaciÃ³n de los recursos.
		</div><div class="note"><h2>Nota</h2><div class="para">
				Es una buena idea utilizar reglas de cortafuego iptables junto con los encapsuladores TCP y <code class="command">xinetd</code>, para generar redundancia dentro de los controles de acceso al servicio. Para obtener mÃ¡s informaciÃ³n acerca de la implementaciÃ³n de cortafuegos con comandos iptable, vea la <a class="xref" href="sect-Security_Guide-Firewalls.html" title="2.8. Cortafuegos">SecciÃ³nÂ 2.8, â€œCortafuegosâ€</a>.
			</div></div><div class="para">
			Las siguientes subsecciones presuponen un conocimiento bÃ¡sico de cada uno de los temas, y se concentran en opciones de seguridad especÃficas.
		</div><div class="section" title="2.2.1.1. Mejorando la seguridad utilizando encapsuladores TCP"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_Services_With_TCP_Wrappers_and_xinetd-Enhancing_Security_With_TCP_Wrappers">2.2.1.1. Mejorando la seguridad utilizando encapsuladores TCP</h4></div></div></div><div class="para">
				Los encapsuladores TCP son capaces de mucho mÃ¡s que denegar el acceso a servicios. Esta secciÃ³n ilustra como se pueden usar para enviar pancartas de conexiÃ³n, alertar de ataques de nodos en particular y aumentar la funcionalidad de registro. RefiÃ©rase a la pÃ¡gina del manual <code class="filename">hosts_options</code> para obtener informaciÃ³n acerca de la funcionalidad de los encapsuladores TCP y el lenguaje de control.
			</div><div class="section" title="2.2.1.1.1. Encapsuladores TCP y pancartas de conexiÃ³n"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Enhancing_Security_With_TCP_Wrappers-TCP_Wrappers_and_Connection_Banners">2.2.1.1.1. Encapsuladores TCP y pancartas de conexiÃ³n</h5></div></div></div><div class="para">
					Desplegar una pancarta apropiada cuando los usuarios se conectan a un servicio es una buena manera de hacerle saber a los posibles atacantes que el administrador del sistema estÃ¡ vigilando. Usted puede tambiÃ©n controlar quÃ© informaciÃ³n acerca del sistema es presentada a los usuarios. Para implementar una pancarta por medio de encapsuladores TCP para un servicio, use la opciÃ³n <code class="option">banner</code>.
				</div><div class="para">
					Este ejemplo implementa una pancarta para <code class="command">vsftpd</code>. Para comenzar, cree un archivo de pancarta. Puede ser en cualquier lugar del sistema, pero debe tener el mismo nombre que el demonio. Para este ejemplo, el archivo es llamado <code class="filename">/etc/banners/vsftpd</code> y contiene la siguiente linea:
				</div><pre class="screen">220-Hola, %c 
220-Toda actividad en ftp.ejemplo.com es registrada.
220-El uso inapropiado resultarÃ¡ en la remociÃ³n de los privilegios de acceso.
</pre><div class="para">
					La ficha <code class="command">%c</code> proveÃ© de una serie de informaciÃ³n del cliente, como el nombre de usuario y el nombre de huÃ©sped o el nombre de usuario y la direcciÃ³n IP para hacerlo mÃ¡s intimidante.
				</div><div class="para">
					Para que esta pancarta sea desplegada en todas la conexiones entrantes, hay que agregar la siguiente linea en el archivo<code class="filename">/etc/hosts.allow</code>:
				</div><pre class="screen"><code class="command"> vsftpd : ALL : banners /etc/banners/ </code>
</pre></div><div class="section" title="2.2.1.1.2. Encapsuladores TCP y alertas de ataque"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Enhancing_Security_With_TCP_Wrappers-TCP_Wrappers_and_Attack_Warnings">2.2.1.1.2. Encapsuladores TCP y alertas de ataque</h5></div></div></div><div class="para">
					Si un huÃ©sped o red en particular han sido detectados atacando el servidor, los encapsuladores TCP pueden ser usados para alertar al administrador de ataques subsecuentes provenientes de ese huÃ©sped o red usando la directiva <code class="command">spawn</code>.
				</div><div class="para">
					En este ejemplo, asumamos que un atacante de la red 206.182.68.0/24 ha sido detectado tratando de atacar el servidor. Agregue la siguiente linea en el archivo <code class="filename">/etc/hosts.deny</code> para denegar cualquier intento de conexiÃ³n desde esa red, y para registrar los intentos a un archivo en especial:
				</div><pre class="screen"><code class="command"> ALL : 206.182.68.0 : spawn /bin/ 'date' %c %d >> /var/log/intruder_alert </code>
</pre><div class="para">
					La ficha <code class="command">%d</code> proveÃ© el nombre del servicio al que el atacante estÃ¡ tratando de acceder.
				</div><div class="para">
					Para permitir una conexiÃ³n y registrarla, use la directiva <code class="command">spawn</code> en el archivo <code class="filename">/etc/hosts.allow</code>.
				</div><div class="note"><h2>Nota</h2><div class="para">
						Ya que la directiva <code class="command">spawn</code> ejecuta cualquier comando, es una buena idea crear un programa especial para notificar al administrador o ejecutar una cadena de comandos en el evento de un cliente en particular tratando de conectarse al servidor.
					</div></div></div><div class="section" title="2.2.1.1.3. Encapsuladores TCP y registro avanzado"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Enhancing_Security_With_TCP_Wrappers-TCP_Wrappers_and_Enhanced_Logging">2.2.1.1.3. Encapsuladores TCP y registro avanzado</h5></div></div></div><div class="para">
					Si ciertos tipos de conexiÃ³n son mÃ¡s preocupantes que otros, el nivel de registro puede ser elevado para ese servicio usando la opciÃ³n <code class="command">severity</code>.
				</div><div class="para">
					Para este ejemplo, asumamos que cualquiera que intente conectarse al puerto 23 (el puerto de Telnet) en un servidor FTP estÃ¡ tratando de romper el sistema. Para denotar esto, use la bandera <code class="command">emerg</code> en los archivos de registro en lugar de la bandera por defecto <code class="command">info</code> y deniegue la conexiÃ³n.
				</div><div class="para">
					Para hacer esto, ponga la siguiente linea en el archivo <code class="filename">/etc/hosts.deny</code>:
				</div><pre class="screen"><code class="command"> in.telnetd : ALL : severity emerg </code>
</pre><div class="para">
					Esto usa la facilidad de registro por defecto <code class="command">authpriv</code>, pero eleva la prioridad del valor por defecto <code class="command">info</code> a <code class="command">emerg</code>, lo cual escribe los mensajes de registro directamente a la consola.
				</div></div></div><div class="section" title="2.2.1.2. Aumentando la seguridad con xinetd"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_Services_With_TCP_Wrappers_and_xinetd-Enhancing_Security_With_xinetd">2.2.1.2. Aumentando la seguridad con xinetd</h4></div></div></div><div class="para">
				Esta secciÃ³n se concentra en el uso de <code class="command">xinetd</code> para crear un servicio de trampa y usarlo para controlar los niveles de recurso disponibles para cualquier servicio <code class="command">xinetd</code>. Crear lÃmites de recursos para los servicios puede ayudar a frustrar ataques de denegaciÃ³n de servicio (<em class="firstterm">Denial of Service</em>, <acronym class="acronym">DoS</acronym>). RefiÃ©rase a las pÃ¡ginas del manual para <code class="command">xinetd</code> y <code class="filename">xinetd.conf</code> para una lista de opciones disponibles.
			</div><div class="section" title="2.2.1.2.1. Poniendo una trampa"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Enhancing_Security_With_xinetd-Setting_a_Trap">2.2.1.2.1. Poniendo una trampa</h5></div></div></div><div class="para">
					Una caracterÃstica importante de <code class="command">xinetd</code> es su habilidad para agregar equipos a una lista <code class="filename">no_access</code> global. Los equipos en esta lista no pueden crear conexiones subsecuentes a servicios manejados por <code class="command">xinetd</code> por un periodo especÃfico de tiempo, o hasta que <code class="command">xinetd</code> sea reiniciado. Usted puede hacer esto usando el atributo <code class="command">SENSOR</code>. Esta es una manera fÃ¡cil de bloquear equipos que intentan explorar puertos en el servidor.
				</div><div class="para">
					El primer paso para crear un <code class="command">SENSOR</code> es escoger que servicio no estÃ¡ planeado a usarse. En este ejemplo es utilizado telnet.
				</div><div class="para">
					Edite el archivo <code class="filename">/etc/xinetd.d/telnet</code> y cambie la linea <code class="option">flags</code> a:
				</div><pre class="screen">flags           = SENSOR
</pre><div class="para">
					Agregue la siguiente lÃnea:
				</div><pre class="screen">deny_time       = 30
</pre><div class="para">
					Esto deniega cualquier intento de conexiÃ³n a este puerto para ese equipo por 30 minutos. Otros valores aceptables para el atributo <code class="command">deny_time</code> son FOREVER, el cual mantiene el veto en efecto hasta que <code class="command">xinetd</code> es reiniciado y NEVER, el cual permite la conexiÃ³n y la registra.
				</div><div class="para">
					Finalmente, la Ãºltima linea debe ser:
				</div><pre class="screen">disable         = no
</pre><div class="para">
					Esto habilita la trampa.
				</div><div class="para">
					Mientras que el uso de <code class="option">SENSOR</code> es una buena idea para detectar y detener conexiones desde equipos indeseables, tiene dos caracterÃsticas en contra:
				</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
							No funciona contra exploraciones sigilosas (stealth)
						</div></li><li class="listitem"><div class="para">
							Un atacante que sabe que un <code class="option">SENSOR</code> esta corriendo puede montar un ataque de denegaciÃ³n de servicio contra un servidor en particular al forjar su direcciÃ³n IP y conectarse al puerto prohibido.
						</div></li></ul></div></div><div class="section" title="2.2.1.2.2. Control de los recursos del servidor"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Enhancing_Security_With_xinetd-Controlling_Server_Resources">2.2.1.2.2. Control de los recursos del servidor</h5></div></div></div><div class="para">
					Otra caracterÃstica importante de <code class="command">xinetd</code> es su habilidad de declarar lÃmites de recursos para los servicios bajo su control.
				</div><div class="para">
					Lo hace usando las siguientes directivas
				</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
							<code class="option">cps = <number_of_connections> <wait_period></code> â€” Limita el ritmo de las conexiones entrantes. Esta directiva toma dos argumentos:
						</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
									<code class="option"><number_of_connections></code> â€” El nÃºmero de conexiones por segundo a manejar. Si el ritmo de conexiones es mÃ¡s alto que esto, el servicio se deshabilita temporalmente. El valor por defecto es cincuenta (50).
								</div></li><li class="listitem"><div class="para">
									<code class="option"><wait_period></code> â€” El nÃºmero de segundos a esperar antes de rehabilitar el servicio despuÃ©s de que ha sido deshabilitado. El valor por defecto es diez (10) segundos.
								</div></li></ul></div></li><li class="listitem"><div class="para">
							<code class="option">instances = <number_of_connections></code> â€” Especifica el nÃºmero total de conexiones permitidas a un servicio. Esta directiva acepta ya sea un valor entero o <code class="command">UNLIMITED</code>.
						</div></li><li class="listitem"><div class="para">
							<code class="option">per_source = <number_of_connections></code> â€” Especifica el nÃºmero de conexiones permitidas a un servicio para cada huÃ©sped. Esta directiva acepta ya sea un nÃºmero entero o <code class="command">UNLIMITED</code>.
						</div></li><li class="listitem"><div class="para">
							<code class="option">rlimit_as = <number[K|M]></code> â€” Especifica el monto de espacio de direcciÃ³n de memoria que el servicio puede ocupar en kilobytes o megabytes. Esta directiva acepta ya sea un nÃºmero entero o <code class="command">UNLIMITED</code>.
						</div></li><li class="listitem"><div class="para">
							<code class="option">rlimit_cpu = <number_of_seconds></code> â€” Especifica el monto de tiempo en segundos que un servicio puede ocupar del CPU. Esta directiva acepta un valor entero o <code class="command">UNLIMITED</code>.
						</div></li></ul></div><div class="para">
					Usar estas directivas puede ayudar a prevenir cualquier servicio <code class="command">xinetd</code> de abrumar el sistema, resultando en una denegaciÃ³n de servicio.
				</div></div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-Securing_Your_Network.html"><strong>Anterior</strong>CapÃtulo 2. Asegurando su Red</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_Portmap.html"><strong>Siguiente</strong>2.2.2. Asegurando Portmap</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Single_Sign_on_SSO-Configuring_Firefox_to_use_Kerberos_for_SSO.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.3.5. Configurar Firefox para la utilizaciÃ³n de Kerberos como SSO</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Single_Sign_on_SSO.html" title="2.3. IdentificaciÃ³n Ãºnica (SSO, por las iniciales en inglÃ©s de Single Sign-on)"/><link rel="prev" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Login_Works.html" title="2.3.4. CÃ³mo funciona el ingreso con tarjeta inteligente"/><link rel="next" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. MÃ³dulos de autenticaciÃ³n conectables (PAM, por las iniciales en inglÃ©s de Pluggable Authentication Modules)"/></head><body class="draft "><p id="title"><a class="left" href
 ="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Login_Works.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.3.5. Configurar Firefox para la utilizaciÃ³n de Kerberos como SSO"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Single_Sign_on_SSO-Configuring_Firefox_to_use_Kerberos_for_SSO">2.3.5. Configurar Firefox para la utilizaciÃ³n de Kerberos como SSO</h3></div></div></div><div class="para">
			Puede configurar Firefox para utilizar Kerberos para la identificaciÃ³n Ãºnica SSO. Para que esta herramienta pueda funcionar correctamente, necesita configurar su navegador web para que pueda enviar sus credenciales Kerberos al <abbr class="abbrev">KDC</abbr> adecuado. En la siguiente secciÃ³n se describen las modificaciones a realizar en la configuraciÃ³n, y otros requerimientos necesarios para poder utilizar correctamente esta funcionalidad.
		</div><div class="orderedlist"><ol><li class="listitem"><div class="para">
					En la barra de direcciones de Firefox, escriba <strong class="userinput"><code>about:config</code></strong> para ver una lista actualizada de las opciones de configuraciÃ³n disponibles.
				</div></li><li class="listitem"><div class="para">
					En el campo <span class="guilabel"><strong>Filtro</strong></span>, ingrese <strong class="userinput"><code>negotiate</code></strong> para restringir la lista de opciones.
				</div></li><li class="listitem"><div class="para">
					Haga un doble clic en la entrada <span class="emphasis"><em>network.negotiate-auth.trusted-uris</em></span> para mostrar el cuadro de diÃ¡logo <span class="emphasis"><em>Ingrese valor de cadena</em></span>.
				</div></li><li class="listitem"><div class="para">
					Ingrese el nombre del dominio en el cual desea autenticarse, por ejemplo, <em class="replaceable"><code>.ejemplo.com</code></em>.
				</div></li><li class="listitem"><div class="para">
					Repita el procedimiento reciÃ©n descrito para la entrada <span class="emphasis"><em>network.negotiate-auth.delegation-uris</em></span>, utilizando el mismo dominio.
				</div><div class="para">
					<div class="note"><h2>Nota</h2><div class="para">
							Puede dejar este valor vacÃo, ya que permite a Kerberos enviar tickets, lo que no es necesario.
						</div><div class="para">
							Si no puede ver estas dos opciones de configuraciÃ³n listadas, tal vez la versiÃ³n de Firefox que estÃ¡ utilizando sea demasiado antigua para soportar negociados de autenticaciÃ³n, y deberÃa considerar actualizarla.
						</div></div>
				</div></li></ol></div><div class="figure" id="figu-Security_Guide-Configuring_Firefox_to_use_Kerberos_for_SSO-Configuring_Firefox_for_SSO_with_Kerberos"><div class="figure-contents"><div class="mediaobject"><img src="images/fed-firefox_kerberos_SSO.png" alt="Configurar Firefox para SSO con Kerberos"/><div class="longdesc"><div class="para">
						Configurar Firefox para que utilice Kerberos para SSO.
					</div></div></div></div><h6>Figura 2.6. Configurar Firefox para SSO con Kerberos</h6></div><br class="figure-break"/><div class="para">
			Necesita asegurarse de poseer tickets Kerberos. En una terminal, ingrese <code class="command">kinit</code> para obtenerlos. Para mostrar la lista de los tickets disponibles, ingrese <code class="command">klist</code>. A continuaciÃ³n se muestra un ejemplo del resultado de estos comandos:
		</div><pre class="screen">[user at host ~] $ kinit
Password for user at EXAMPLE.COM:

[user at host ~] $ klist
Ticket cache: FILE:/tmp/krb5cc_10920
Default principal: user at EXAMPLE.COM

Valid starting     Expires            Service principal
10/26/06 23:47:54  10/27/06 09:47:54  krbtgt/USER.COM at USER.COM
        renew until 10/26/06 23:47:54

Kerberos 4 ticket cache: /tmp/tkt10920
klist: You have no tickets cached
</pre><div class="section" title="2.3.5.1. SoluciÃ³n de problemas"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Configuring_Firefox_to_use_Kerberos_for_SSO-Troubleshooting">2.3.5.1. SoluciÃ³n de problemas</h4></div></div></div><div class="para">
				Si ha seguido las etapas de configuraciÃ³n reciÃ©n indicadas, y la negociaciÃ³n de la autenticaciÃ³n no funciona, puede activar la posibilidad de obtener informaciÃ³n mÃ¡s detallada del proceso de autenticaciÃ³n. Esto podrÃa ayudarle a encontrar la causa del problema. Para obtener mÃ¡s detalles del proceso de autenticaciÃ³n, utilice el siguiente procedimiento:
			</div><div class="orderedlist"><ol><li class="listitem"><div class="para">
						Cerrar todas las instancias de Firefox.
					</div></li><li class="listitem"><div class="para">
						Abra una terminal, e ingrese los siguientes comandos:
					</div><pre class="screen">export NSPR_LOG_MODULES=negotiateauth:5
export NSPR_LOG_FILE=/tmp/moz.log
</pre></li><li class="listitem"><div class="para">
						Reinicie Firefox <span class="emphasis"><em>desde esa terminal</em></span>, y visite el sitio web al que no podÃa autenticarse anteriormente. La informaciÃ³n serÃ¡ registrada en <code class="filename">/tmp/moz.log</code>, y podrÃa darle alguna pista hacerca del problema. Por ejemplo:
					</div><pre class="screen">-1208550944[90039d0]: entering nsNegotiateAuth::GetNextToken()
-1208550944[90039d0]: gss_init_sec_context() failed: Miscellaneous failure
No credentials cache found
</pre><div class="para">
						Esto significa que usted no tiene tickets Kerberos, y que necesita ejecutar el comando <code class="command">kinit</code>.
					</div></li></ol></div><div class="para">
				Si puede ejecutar <code class="command">kinit</code> exitosamente desde su mÃ¡quina pero no puede autenticarse, deberÃa ver algo similar a lo siguiente en el archivo log:
			</div><pre class="screen">-1208994096[8d683d8]: entering nsAuthGSSAPI::GetNextToken()
-1208994096[8d683d8]: gss_init_sec_context() failed: Miscellaneous failure
Server not found in Kerberos database
</pre><div class="para">
				Generalmente esto significa que existe un problema de configuraciÃ³n de Kerberos. AsegÃºrese de tener las entradas correctas en la secciÃ³n [domain_realm] del archivo <code class="filename">/etc/krb5.conf</code>. Por ejemplo:
			</div><pre class="screen">.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
</pre><div class="para">
				Si no aparece nada en el archivo de registro, es posible que usted se encuentre detrÃ¡s de un proxy, y que ese proxy estÃ© eliminando los encabezados HTTP necesarios para negociar la autenticaciÃ³n. Una posible soluciÃ³n a esto es intentar conectarse al servidor utilizando HTTPS, que permite a las peticiones atravesar el proxy sin modificarlas. Luego proceda a depurar utilizando el archivo de registro, como se ha explicado antes.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Login_Works.html"><strong>Anterior</strong>2.3.4. CÃ³mo funciona el ingreso con tarjeta intel...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html"><strong>Siguiente</strong>2.4. MÃ³dulos de autenticaciÃ³n conectables (PAM, p...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Single_Sign_on_SSO-Getting_Started_with_your_new_Smart_Card.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.3.2. Empezar a utilizar su nueva tarjeta inteligente</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Single_Sign_on_SSO.html" title="2.3. IdentificaciÃ³n Ãºnica (SSO, por las iniciales en inglÃ©s de Single Sign-on)"/><link rel="prev" href="sect-Security_Guide-Single_Sign_on_SSO.html" title="2.3. IdentificaciÃ³n Ãºnica (SSO, por las iniciales en inglÃ©s de Single Sign-on)"/><link rel="next" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Enrollment_Works.html" title="2.3.3. Como funciona la inscripciÃ³n de las tarjetas inteligentes."/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_C
 ontent/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Single_Sign_on_SSO.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Enrollment_Works.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.3.2. Empezar a utilizar su nueva tarjeta inteligente"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Single_Sign_on_SSO-Getting_Started_with_your_new_Smart_Card">2.3.2. Empezar a utilizar su nueva tarjeta inteligente</h3></div></div></div><div class="para">
			Antes de poder utilizar una tarjeta inteligente en sus sistema, y poder aprovechar las grandes ventajas en las opciones de seguridad que esta tecnologÃa ofrece, necesita realizar en un determinado orden algunas instalaciones mÃnimas. MÃ¡s abajo se explica en quÃ© consisten.
		</div><div class="note"><h2>Nota</h2><div class="para">
				Esta secciÃ³n ofrece una explicaciÃ³n general para poder empezar a utilizar su tarjeta inteligente. InformaciÃ³n mÃ¡s especÃfica puede encontrarse en la GuÃa del Cliente del Cliente de Seguridad Empresarial del Sistema de Certificado de Red Hat.
			</div></div><div class="procedure"><ol class="1"><li class="step" title="Paso 1"><div class="para">
					Ingrese con su nombre de usuario y contraseÃ±a Kerberos.
				</div></li><li class="step" title="Paso 2"><div class="para">
					AsegÃºrese de tener instalado el paquete <code class="filename">nss-tools</code>.
				</div></li><li class="step" title="Paso 3"><div class="para">
					Descargue e instale sus certificados corporativos especÃficos de usuario root. Utilice el siguiente comando para instalar el certificado root CA:
				</div><pre class="screen">certutil -A -d /etc/pki/nssdb -n "root ca cert" -t "CT,C,C" -i ./ca_cert_in_base64_format.crt
</pre></li><li class="step" title="Paso 4"><div class="para">
					Verifique que tenga los siguientes RPMs instalados en su sistema: esc, pam_pkcs11, coolkey, ifd-egate, ccid, gdm, authconfig, and authconfig-gtk.
				</div></li><li class="step" title="Paso 5"><div class="para">
					Habilite el soporte de ingreso por Tarjeta Inteligente.
				</div><ol class="a"><li class="step" title="Paso 5.a"><div class="para">
							En la barra de menÃº superior de Gnome, elija Systema->AdministraciÃ³n->AutenticaciÃ³n.
						</div></li><li class="step" title="Paso 5.b"><div class="para">
							Si es necesario, ingrese la contraseÃ±a de usuario root de su equipo.
						</div></li><li class="step" title="Paso 5.c"><div class="para">
							En el diÃ¡logo de configuraciÃ³n de autenticaciÃ³n, haga clic sobre la pestaÃ±a <span class="guilabel"><strong>AutenticaciÃ³n</strong></span>.
						</div></li><li class="step" title="Paso 5.d"><div class="para">
							Tilde la casilla <span class="guilabel"><strong>Activar soporte para tarjeta inteligente</strong></span>.
						</div></li><li class="step" title="Paso 5.e"><div class="para">
							Haga clic en el botÃ³n <span class="guibutton"><strong>Configurar tarjeta inteligente...</strong></span> para ver el diÃ¡logo de configuraciÃ³n de Smartcard, e indique las opciones requeridas:
						</div><div class="para">
							<div class="itemizedlist"><ul><li class="listitem"><div class="para">
										<span class="guilabel"><strong>Requiere tarjeta inteligente para ingresar</strong></span> â€” Destilde esta casilla. Luego de haberse ingresado exitosamente en su sistema con la tarjeta inteligente puede elegir esta opciÃ³n para prevenir que otros usuarios ingresen a Ã©l sin una tarjeta inteligente.
									</div></li><li class="listitem"><div class="para">
										<span class="guilabel"><strong>AcciÃ³n de Retiro de Tarjeta</strong></span> â€” Esto controla quÃ© es lo que sucede cuando usted retire la tarjeta luego de haberse registrado. Las opciones disponibles son:
									</div><div class="para">
										<div class="itemizedlist"><ul><li class="listitem"><div class="para">
													<span class="guilabel"><strong>Bloquear</strong></span> â€” Si se retira la tarjeta se bloquea la pantalla X.
												</div></li><li class="listitem"><div class="para">
													<span class="guilabel"><strong>Ignorar</strong></span> â€” No sucede nada cuando se retira la tarjeta.
												</div></li></ul></div>
									</div></li></ul></div>
						</div></li></ol></li><li class="step" title="Paso 6"><div class="para">
					Si necesita activar el Certificado de Estado de Protocolo Online (<abbr class="abbrev">OCSP</abbr>, por las siglas en inglÃ©s de Online Certificate Status Protocol), abra el archivo <code class="filename">/etc/pam_pkcs11/pam_pkcs11.conf</code> y ubique la siguiente lÃnea:
				</div><div class="para">
					<code class="command">enable_ocsp = false;</code>
				</div><div class="para">
					Modifique su valor a "true", del siguiente modo:
				</div><div class="para">
					<code class="command">enable_ocsp = true;</code>
				</div></li><li class="step" title="Paso 7"><div class="para">
					Enrole su tarjeta inteligente.
				</div></li><li class="step" title="Paso 8"><div class="para">
					Si ademÃ¡s estÃ¡ utilizando una tarjeta CAC, tendrÃ¡ que realizar los siguientes pasos:
				</div><ol class="a"><li class="step" title="Paso 8.a"><div class="para">
							ConviÃ©rtase en usuario root y genere un archivo llamado <code class="filename">/etc/pam_pkcs11/cn_map</code>.
						</div></li><li class="step" title="Paso 8.b"><div class="para">
							AÃ±ada la siguiente entrada al archivo <code class="filename">cn_map</code>:
						</div><div class="para">
							<em class="replaceable"><code>MY.CAC_CN.123454</code></em> -> <em class="replaceable"><code>myloginid</code></em>
						</div><div class="para">
							donde <em class="replaceable"><code>MY.CAC_CN.123454</code></em> es el nombre comÃºn en su CAC y <em class="replaceable"><code>myloginid</code></em> es su ID de logueo UNIX.
						</div></li></ol></li><li class="step" title="Paso 9"><div class="para">
					Salida
				</div></li></ol></div><div class="section" title="2.3.2.1. SoluciÃ³n de problemas"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Getting_Started_with_your_new_Smart_Card-Troubleshooting">2.3.2.1. SoluciÃ³n de problemas</h4></div></div></div><div class="para">
				Si se encuentra con algÃºn inconveniente para lograr que su tarjeta inteligente funcione, intente utilizar el siguiente comando para ubicar el origen del problema.
			</div><pre class="screen">pklogin_finder debug
</pre><div class="para">
				Si ejecuta la herramienta <code class="command">pklogin_finder</code> en modo de depuraciÃ³n, mientras una tarjeta inteligente registrada se encuentre conectada, intentarÃ¡ mostrar informaciÃ³n acerca de los certificados vÃ¡lidos, y si tiene Ã©xito, intentarÃ¡ mapear un ID de registro desde los certificados que existan en la tarjeta.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Single_Sign_on_SSO.html"><strong>Anterior</strong>2.3. IdentificaciÃ³n Ãºnica (SSO, por las iniciales...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Enrollment_Works.html"><strong>Siguiente</strong>2.3.3. Como funciona la inscripciÃ³n de las tarjet...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Enrollment_Works.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.3.3. Como funciona la inscripciÃ³n de las tarjetas inteligentes.</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Single_Sign_on_SSO.html" title="2.3. IdentificaciÃ³n Ãºnica (SSO, por las iniciales en inglÃ©s de Single Sign-on)"/><link rel="prev" href="sect-Security_Guide-Single_Sign_on_SSO-Getting_Started_with_your_new_Smart_Card.html" title="2.3.2. Empezar a utilizar su nueva tarjeta inteligente"/><link rel="next" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Login_Works.html" title="2.3.4. CÃ³mo funciona el ingreso con tarjeta inteligente"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img sr
 c="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Single_Sign_on_SSO-Getting_Started_with_your_new_Smart_Card.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Login_Works.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.3.3. Como funciona la inscripciÃ³n de las tarjetas inteligentes."><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Enrollment_Works">2.3.3. Como funciona la inscripciÃ³n de las tarjetas inteligentes.</h3></div></div></div><div class="para">
			Las tarjetas inteligentes se dice que son <em class="firstterm">inscriptas</em> cuando han recibido un certificado adecuado identificado con un Certificado de Autoridad vÃ¡lido (<abbr class="abbrev">CA</abbr>, por las iniciales en inglÃ©s de Certificate Authority). Esto implica una serie de pasos, que se describen a continuaciÃ³n:
		</div><div class="orderedlist"><ol><li class="listitem"><div class="para">
					El usuario inserta su tarjeta inteligente en el lector de tarjetas de su estaciÃ³n de trabajo. Este evento es reconocido por el Cliente de Seguridad Corporativo (<abbr class="abbrev">ESC</abbr>, por las iniciales en inglÃ©s de Entreprise Security Client).
				</div></li><li class="listitem"><div class="para">
					La pÃ¡gina de inscripciÃ³n se muestra en en escritorio del usuario. El usuario completa los detalles solicitados y entonces reciÃ©n su sistema se conecta con el Sistema de Procesamiento de Fichas (<abbr class="abbrev">TPS</abbr>, por las iniciales en inglÃ©s de Token Processing System) y con el <abbr class="abbrev">CA</abbr>.
				</div></li><li class="listitem"><div class="para">
					El <abbr class="abbrev">TPS</abbr> inscribe a la tarjeta inteligente utilizando un certificado firmado por <abbr class="abbrev">CA</abbr>.
				</div></li></ol></div><div class="figure" id="figu-Security_Guide-How_Smart_Card_Enrollment_Works-How_Smart_Card_Enrollment_Works"><div class="figure-contents"><div class="mediaobject"><img src="images/SCLoginEnrollment.png" alt="Como funciona la inscripciÃ³n de las tarjetas inteligentes."/><div class="longdesc"><div class="para">
						Como funciona la inscripciÃ³n de las tarjetas inteligentes.
					</div></div></div></div><h6>Figura 2.4. Como funciona la inscripciÃ³n de las tarjetas inteligentes.</h6></div><br class="figure-break"/></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Single_Sign_on_SSO-Getting_Started_with_your_new_Smart_Card.html"><strong>Anterior</strong>2.3.2. Empezar a utilizar su nueva tarjeta inteli...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Login_Works.html"><strong>Siguiente</strong>2.3.4. CÃ³mo funciona el ingreso con tarjeta intel...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Login_Works.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.3.4. CÃ³mo funciona el ingreso con tarjeta inteligente</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Single_Sign_on_SSO.html" title="2.3. IdentificaciÃ³n Ãºnica (SSO, por las iniciales en inglÃ©s de Single Sign-on)"/><link rel="prev" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Enrollment_Works.html" title="2.3.3. Como funciona la inscripciÃ³n de las tarjetas inteligentes."/><link rel="next" href="sect-Security_Guide-Single_Sign_on_SSO-Configuring_Firefox_to_use_Kerberos_for_SSO.html" title="2.3.5. Configurar Firefox para la utilizaciÃ³n de Kerberos como SSO"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedor
 aproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Enrollment_Works.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Single_Sign_on_SSO-Configuring_Firefox_to_use_Kerberos_for_SSO.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.3.4. CÃ³mo funciona el ingreso con tarjeta inteligente"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Login_Works">2.3.4. CÃ³mo funciona el ingreso con tarjeta inteligente</h3></div></div></div><div class="para">
			En la siguiente secciÃ³n se ofrece una breve descripciÃ³n general del proceso de registro utilizando una tarjeta inteligente.
		</div><div class="orderedlist"><ol><li class="listitem"><div class="para">
					Cuando el usuario inserta su tarjeta inteligente en el lector de tarjetas, este evento es reconocido por la herramienta PAM, quien solicita al usuario su PIN.
				</div></li><li class="listitem"><div class="para">
					El sistema entonces intenta encontrar los certificados vigentes del usuario y verifica su validez. El certificado entonces es mapeado en el UID del usuario.
				</div></li><li class="listitem"><div class="para">
					Esto es validado en el KDC (centro de distribuciÃ³n de claves de Kerberos) y el registro es autorizado.
				</div></li></ol></div><div class="figure" id="figu-Security_Guide-How_Smart_Card_Login_Works-How_Smart_Card_Login_Works"><div class="figure-contents"><div class="mediaobject"><img src="images/SCLogin.png" alt="CÃ³mo funciona el ingreso con tarjeta inteligente"/><div class="longdesc"><div class="para">
						CÃ³mo funciona el ingreso con tarjeta inteligente.
					</div></div></div></div><h6>Figura 2.5. CÃ³mo funciona el ingreso con tarjeta inteligente</h6></div><br class="figure-break"/><div class="note"><h2>Nota</h2><div class="para">
				No puede registrarse con una tarjeta que no haya sido inscripta, ni siquiera aunque haya sido formateada. Necesita registrarse con una tarjeta formateada e inscripta, o no utilizar ninguna que no haya sido inscripta.
			</div></div><div class="para">
			Para obtener mayor informaciÃ³n acerca de Kerberos y <acronym class="acronym">PAM</acronym>, vea la <a class="xref" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos">SecciÃ³nÂ 2.6, â€œKerberosâ€</a> y <a class="xref" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. MÃ³dulos de autenticaciÃ³n conectables (PAM, por las iniciales en inglÃ©s de Pluggable Authentication Modules)">SecciÃ³nÂ 2.4, â€œMÃ³dulos de autenticaciÃ³n conectables (PAM, por las iniciales en inglÃ©s de Pluggable Authentication Modules)â€</a>.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Enrollment_Works.html"><strong>Anterior</strong>2.3.3. Como funciona la inscripciÃ³n de las tarjet...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Single_Sign_on_SSO-Configuring_Firefox_to_use_Kerberos_for_SSO.html"><strong>Siguiente</strong>2.3.5. Configurar Firefox para la utilizaciÃ³n de ...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Single_Sign_on_SSO.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.3. IdentificaciÃ³n Ãºnica (SSO, por las iniciales en inglÃ©s de Single Sign-on)</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Securing_Your_Network.html" title="CapÃtulo 2. Asegurando su Red"/><link rel="prev" href="sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening.html" title="2.2.8. Verificar quÃ© puertos estÃ¡n abiertos"/><link rel="next" href="sect-Security_Guide-Single_Sign_on_SSO-Getting_Started_with_your_new_Smart_Card.html" title="2.3.2. Empezar a utilizar su nueva tarjeta inteligente"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.pn
 g" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Single_Sign_on_SSO-Getting_Started_with_your_new_Smart_Card.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="section" title="2.3. IdentificaciÃ³n Ãºnica (SSO, por las iniciales en inglÃ©s de Single Sign-on)"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Single_Sign_on_SSO">2.3. IdentificaciÃ³n Ãºnica (SSO, por las iniciales en inglÃ©s de Single Sign-on)</h2></div></div></div><div class="section" title="2.3.1. IntroducciÃ³n"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Single_Sign_on_SSO-Introduction"
 >2.3.1. IntroducciÃ³n</h3></div></div></div><div class="para">
			La funcionalidad de SSO de Fedora reduce el nÃºmero de veces que los usuarios de escritorio de Fedora deben ingresar sus contraseÃ±as. Varias de las aplicaciones mÃ¡s importantes utilizan los mismos mecanismos subyacentes de autenticaciÃ³n y autorizaciÃ³n, de modo que los usuarios pueden identificarse desde la pantalla de registro en Fedora y luego no necesitar reingresar sus contraseÃ±as. Estas aplicaciones se describen mÃ¡s abajo.
		</div><div class="para">
			AdemÃ¡s, los usuarios pueden registrarse en sus mÃ¡quinas aÃºn cuando no exista una red (<em class="firstterm">modo desconexiÃ³n</em>), o cuando la conectividad no sea confiable, como por ejemplo, los accesos inalÃ¡mbricos. En este Ãºltimo caso, los servicios serÃ¡n notablemente disminuidos.
		</div><div class="section" title="2.3.1.1. Aplicaciones soportadas"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Introduction-Supported_Applications">2.3.1.1. Aplicaciones soportadas</h4></div></div></div><div class="para">
				Las siguientes aplicaciones estÃ¡n actualmente soportadas por el esquema de registro unificado en Fedora:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						Entrada
					</div></li><li class="listitem"><div class="para">
						Salvapantallas
					</div></li><li class="listitem"><div class="para">
						Firefox y Thunderbird
					</div></li></ul></div></div><div class="section" title="2.3.1.2. Mecanismos de autenticaciÃ³n soportados"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Introduction-Supported_Authentication_Mechanisms">2.3.1.2. Mecanismos de autenticaciÃ³n soportados</h4></div></div></div><div class="para">
				Fedora actualmente tiene soporte para los siguientes mecanismos de autenticaciÃ³n:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						Ingreso de nombre/contraseÃ±a Kerberos
					</div></li><li class="listitem"><div class="para">
						ingreso por Tarjeta Inteligente/PIN
					</div></li></ul></div></div><div class="section" title="2.3.1.3. Tarjetas Inteligentes soportadas"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Introduction-Supported_Smart_Cards">2.3.1.3. Tarjetas Inteligentes soportadas</h4></div></div></div><div class="para">
				Fedora ha sido probada con una tarjeta y un lector Cyberflex e-gate, pero cualquier tarjeta que cumpla tanto con las especificaciones de tarjetas Java 2.1.1, y las especificaciones Global Platform 2.0.1, deberÃa poder funcionar correctamente, del mismo modo que cualquier lector que sea soportado por PCSC-lite.
			</div><div class="para">
				Fedora tambiÃ©n ha sido probada con tarjetas de acceso comÃºn (CAC, por las iniciales en inglÃ©s de Common Access Cards). El lector soportado para CAC es el lector USB SCM SCR 331.
			</div><div class="para">
				En cuanto a Fedora 5.2, ya tienen soporte las tarjetas inteligentes Gemalto (Cyberflex Access 64k v2, standard con valor DER SHA1 configurado del mismo modo que en PKCSI v2.1). Estas tarjetas ahora utilizan lectores compatibles con dispositivos de interfases de tarjetas (CCID, por las iniciales en inglÃ©s de Smart Card Interface Devices) de tipo Chip/Smart.
			</div></div><div class="section" title="2.3.1.4. Ventajas de SSO de Fedora"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Introduction-Advantages_of_PROD_Single_Sign_on">2.3.1.4. Ventajas de SSO de Fedora </h4></div></div></div><div class="para">
				Numerosos mecanismos de seguridad existentes hoy en dÃa utilizan una gran cantidad de protocolos y credenciales. Algunos ejemplos de ellos son SSL, SSH, IPsec y Kerberos. La idea de SSO en Fedora es la de unificar estos esquemas para dar soporte a los requerimientos mencionados reciÃ©n. Esto no significa que haya que reemplazar Kerberos con certificados X.509x3, sino que se unifican para poder reducir el peso que tienen que soportar tanto los usuarios del sistema, como sus administradores.
			</div><div class="para">
				Para cumplir este objetivo, Fedora:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						Ofrece una sola instancia compartida de las bibliotecas de encriptaciÃ³n NSS en cada sistema operativo.
					</div></li><li class="listitem"><div class="para">
						Incluye el Cliente de Seguridad Empresarial (ESC en inglÃ©s) del Sistema de Certificado dentro del sistema operativo base. La aplicaciÃ³n ESC se encarga de controlar los eventos relacionados con la inserciÃ³n de tarjetas inteligentes. Si detecta que el usuario ha insertado una tarjeta que fue diseÃ±ada para ser usada con el Certificado del Sistema del servidor de producto de Fedora, muestra una interfaz de usuario con instrucciones para que la tarjeta en cuestiÃ³n pueda ser enrolada.
					</div></li><li class="listitem"><div class="para">
						Unifica Kerberos y NSS de modo que los usuarios que se registren en el sistema operativo utilizando una tarjeta inteligente, tambiÃ©n puedan obtener credenciales de Kerberos (lo que les permite registrarse en los servidores, etc.)
					</div></li></ul></div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening.html"><strong>Anterior</strong>2.2.8. Verificar quÃ© puertos estÃ¡n abiertos</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Single_Sign_on_SSO-Getting_Started_with_your_new_Smart_Card.html"><strong>Siguiente</strong>2.3.2. Empezar a utilizar su nueva tarjeta inteli...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Software_Maintenance-Install_Signed_Packages_from_Well_Known_Repositories.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>6.4. Instale paquetes identificados desde repositorios conocidos</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Software_Maintenance.html" title="CapÃtulo 6. Mantenimiento de Software"/><link rel="prev" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates-Adjusting_Automatic_Updates.html" title="6.3. Ajustando las actualizaciones automÃ¡ticas"/><link rel="next" href="chap-Security_Guide-References.html" title="CapÃtulo 7. Referencias"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http
 ://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates-Adjusting_Automatic_Updates.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-References.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="6.4. Instale paquetes identificados desde repositorios conocidos"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Software_Maintenance-Install_Signed_Packages_from_Well_Known_Repositories">6.4. Instale paquetes identificados desde repositorios conocidos</h2></div></div></div><div class="para">
			Los paquetes de software son publicados a travÃ©s de repositorios. Todos los repositorios mÃ¡s conocidos tienen soporte para poder identificar sus paquetes. La identificaciÃ³n de los paquetes utiliza tecnologÃa de llave pÃºblica para confirmar que un paquete publicado por un repositorio, no haya sido alterado desde que la identificaciÃ³n fue aplicada. Esto ofrece cierta protecciÃ³n para evitar instalar software que podrÃa haber sido alterado maliciosamente luego de haber sido creado, pero antes que usted lo haya descargado.
		</div><div class="para">
			Si se utilizan demasiados repositorios, o que no sean confiables, o que alojen paquetes sin identificaciÃ³n, se corre un gran riesgo de introducciÃ³n de cÃ³digos maliciosos o que pueden llegar a debilitar su sistema. Sea precavido al agregar repositorios para actualizar su sistema.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates-Adjusting_Automatic_Updates.html"><strong>Anterior</strong>6.3. Ajustando las actualizaciones automÃ¡ticas</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-References.html"><strong>Siguiente</strong>CapÃtulo 7. Referencias</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates-Adjusting_Automatic_Updates.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>6.3. Ajustando las actualizaciones automÃ¡ticas</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Software_Maintenance.html" title="CapÃtulo 6. Mantenimiento de Software"/><link rel="prev" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates.html" title="6.2. Planifique y configure actualizaciones de seguridad"/><link rel="next" href="sect-Security_Guide-Software_Maintenance-Install_Signed_Packages_from_Well_Known_Repositories.html" title="6.4. Instale paquetes identificados desde repositorios conocidos"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/
 image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Software_Maintenance-Install_Signed_Packages_from_Well_Known_Repositories.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="6.3. Ajustando las actualizaciones automÃ¡ticas"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates-Adjusting_Automatic_Updates">6.3. Ajustando las actualizaciones automÃ¡ticas</h2></div></div></div><div class="para">
			Fedora estÃ¡ configurado para aplicar todas las actualizaciones en un dÃa designado. Si quiere modificar el modo en que su sistema instala las actualizaciones, debe hacerlo a travÃ©s de las "Preferencias de ActualizaciÃ³n de Software". Puede cambiar el dÃa elegido, el tipo de actualizaciones a ser aplicadas o si desea o no que se le notifique cuando existan actualizaciones disponibles.
		</div><div class="para">
			In Gnome, you can find controls for your updates at: <code class="code">System -> Preferences -> Software Updates</code>. In KDE it is located at: <code class="code">Applications -> Settings -> Software Updates</code>.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates.html"><strong>Anterior</strong>6.2. Planifique y configure actualizaciones de se...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Software_Maintenance-Install_Signed_Packages_from_Well_Known_Repositories.html"><strong>Siguiente</strong>6.4. Instale paquetes identificados desde reposit...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>6.2. Planifique y configure actualizaciones de seguridad</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Software_Maintenance.html" title="CapÃtulo 6. Mantenimiento de Software"/><link rel="prev" href="chap-Security_Guide-Software_Maintenance.html" title="CapÃtulo 6. Mantenimiento de Software"/><link rel="next" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates-Adjusting_Automatic_Updates.html" title="6.3. Ajustando las actualizaciones automÃ¡ticas"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="r
 ight" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-Software_Maintenance.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates-Adjusting_Automatic_Updates.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="6.2. Planifique y configure actualizaciones de seguridad"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates">6.2. Planifique y configure actualizaciones de seguridad</h2></div></div></div><div class="para">
			Todo software contiene errores. A menudo, estos errores pueden transformarse en una debilidad que podrÃa dejar a su sistema expuesto a usuarios maliciosos. Sistemas no enmendados son una causa frecuente de intrusiones en las computadoras. DeberÃa tener planificada la instalaciÃ³n de parches de seguridad en una forma sincronizada de manera tal de poder anular esas debilidades, y evitar asÃ que sean aprovechadas.
		</div><div class="para">
			Para usuarios hogareÃ±os, las actualizaciones de seguridad deberÃan ser instaladas lo antes posible. Configurar instalaciones automÃ¡ticas de ellas es una manera de evitar el tener que recordar constantemente hacerlo, pero podrÃa traer aparejado el pequeÃ±o riesgo de que un determinado paquete entre en conflicto con la configuraciÃ³n de su sistema, o con otro software de su equipo.
		</div><div class="para">
			Para los comercios o para los usuarios hogareÃ±os avanzados, las actualizaciones de seguridad deberÃan ser probadas y planeadas para ser instaladas. SerÃ¡ necesario utilizar controles adicionales para proteger el sistema durante el lapso de tiempo existente entre el lanzamiento del parche y su instalaciÃ³n definitiva. Estos controles dependen de la debilidad en cuestiÃ³n, pero pueden incluir reglas de cortafuegos adicionales, o el uso de cortafuegos externos, o cambios en las configuraciones del sistema.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-Software_Maintenance.html"><strong>Anterior</strong>CapÃtulo 6. Mantenimiento de Software</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates-Adjusting_Automatic_Updates.html"><strong>Siguiente</strong>6.3. Ajustando las actualizaciones automÃ¡ticas</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.2.2. Campos de opciÃ³n</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html" title="2.5.2. Archivos de configuraciÃ³n de los encapsuladores TCP"/><link rel="prev" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html" title="2.5.2. Archivos de configuraciÃ³n de los encapsuladores TCP"/><link rel="next" href="sect-Security_Guide-Option_Fields-Access_Control.html" title="2.5.2.2.2. Control de acceso"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a
  class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Option_Fields-Access_Control.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.5.2.2. Campos de opciÃ³n"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields">2.5.2.2. Campos de opciÃ³n</h4></div></div></div><div class="para">
				AdemÃ¡s de las reglas bÃ¡sicas que permiten o que niegan el acceso, la implementaciÃ³n de encapsuladores TCP de Fedora soporta extensiones al lenguaje de control de acceso a travÃ©s de <em class="firstterm">campos de opciÃ³n</em>. Al utilizar los campos de opciÃ³n en reglas de acceso de equipos, los administradores pueden realizar una variedad de tareas como por ejemplo modificar el comportamiento de los registros, consolidar control de acceso e iniciar comandos de terminal.
			</div><div class="section" title="2.5.2.2.1. Registro"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Option_Fields-Logging">2.5.2.2.1. Registro</h5></div></div></div><div class="para">
					Los campos de opciÃ³n permiten que los administradores modifiquen fÃ¡cilmente la herramienta de registro y el nivel de prioridad para una regla, utilizando la directiva <code class="option">severity</code>.
				</div><div class="para">
					En el siguiente ejemplo, las conexiones con el demonio SSH desde cualquier equipo del dominio <code class="systemitem">ejemplo.com</code> son registradas en la herramienta <code class="option">authpriv</code> <code class="option">syslog</code> establecida por defecto (debido a que ningÃºn valor de la herramienta es especificado) con una prioridad de <code class="option">emerg</code>:
				</div><pre class="screen">sshd : .example.com : severity emerg
</pre><div class="para">
					Es tambiÃ©n posible especificar una herramienta utilizando la opciÃ³n <code class="option">severity</code>. El siguiente ejemplo registra cualquier intento de conexiÃ³n SSH realizada por equipos del dominio <code class="systemitem">ejemplo.com</code> a la herramienta <code class="option">local0</code>, con una prioridad de <code class="option">alert</code>:
				</div><pre class="screen">sshd : .ejemplo.com : severity local0.alert
</pre><div class="note"><h2>Nota</h2><div class="para">
						En la prÃ¡ctica, este ejemplo no funciona hasta que el demonio syslog (<code class="systemitem">syslogd</code>) sea configurado para registrarse en la herramienta <code class="command">local0</code>. Para obtener mayor informaciÃ³n acerca de cÃ³mo configurar herramientas de registro establecidas por defecto, vea la pÃ¡gina man de <code class="filename">syslog.conf</code>.
					</div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html"><strong>Anterior</strong>2.5.2. Archivos de configuraciÃ³n de los encapsula...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Option_Fields-Access_Control.html"><strong>Siguiente</strong>2.5.2.2.2. Control de acceso</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.5. Recursos adicionales</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html" title="2.5. Encapsuladores TCP y xinetd"/><link rel="prev" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Resource_Management_Options.html" title="2.5.4.3.4. Opciones de administraciÃ³n de recursos"/><link rel="next" href="sect-Security_Guide-Additional_Resources-Useful_TCP_Wrappers_Websites.html" title="2.5.5.2. Sitios web Ãºtiles relacionados con encapsuladores TCP"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a clas
 s="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Resource_Management_Options.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Useful_TCP_Wrappers_Websites.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.5.5. Recursos adicionales"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources">2.5.5. Recursos adicionales</h3></div></div></div><div class="para">
			Mayor informaciÃ³n acerca de los encapsuladores TCP y <code class="systemitem">xinetd</code> se encuentra disponible en Internet y en la documentaciÃ³n del sistema.
		</div><div class="section" title="2.5.5.1. DocumentaciÃ³n instalada acerca de los encapsuladores TCP"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Installed_TCP_Wrappers_Documentation">2.5.5.1. DocumentaciÃ³n instalada acerca de los encapsuladores TCP</h4></div></div></div><div class="para">
				La documentaciÃ³n de su sistema es un buen lugar en donde empezar a buscar opciones adicionales de configuraciÃ³n para los encapsuladores TCP, <code class="systemitem">xinetd</code>, y control de acceso.
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<code class="filename">/usr/share/doc/tcp_wrappers-<em class="replaceable"><code><version></code></em>/</code> â€” Este directorio contiene un archivo <code class="filename">README</code> en el que se explica cÃ³mo funcionan los encapsuladores TCP, y algunos de los muchos riesgos de suplantaciÃ³n de identidad que existen para los nombres de los equipos y sus direcciones.
					</div></li><li class="listitem"><div class="para">
						<code class="filename">/usr/share/doc/xinetd-<em class="replaceable"><code><version></code></em>/</code> â€” Este directorio contiene un archivo <code class="filename">README</code> en el que se detallan aspectos relacionados con el control de acceso, y un archivo <code class="filename">sample.conf</code>, con varias ideas para modificar los archivos de configuraciÃ³n propios para cada servicio que se encuentran en el directorio <code class="filename">/etc/xinetd.d/</code>.
					</div></li><li class="listitem"><div class="para">
						PÃ¡ginas man relacionadas con encapsuladores TCP y <code class="systemitem">xinetd</code> â€” Existen una cantidad de pÃ¡ginas man para varias aplicaciones y archivos de configuraciÃ³n relacionadas con encapsuladores TCP y <code class="systemitem">xinetd</code>. Las siguientes con algunas de las mÃ¡s importantes:
					</div><div class="variablelist"><dl><dt><span class="term">Aplicaciones de servidor</span></dt><dd><div class="itemizedlist"><ul><li class="listitem"><div class="para">
											<code class="command">man xinetd</code> â€” La pÃ¡gina man para <code class="systemitem">xinetd</code>.
										</div></li></ul></div></dd><dt><span class="term">Archivos de configuraciÃ³n</span></dt><dd><div class="itemizedlist"><ul><li class="listitem"><div class="para">
											<code class="command">man 5 hosts_access</code> â€” La pÃ¡gina man para los archivos de control de acceso de equipos con encapsuladores TCP.
										</div></li><li class="listitem"><div class="para">
											<code class="command">man hosts_options</code> â€” La pÃ¡gina man para los campos de opciÃ³n de los encapsuladores TCP.
										</div></li><li class="listitem"><div class="para">
											<code class="command">man xinetd.conf</code> â€” La pÃ¡gina man que ofrece opciones de configuraciÃ³n para <code class="systemitem">xinetd</code>.
										</div></li></ul></div></dd></dl></div></li></ul></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Resource_Management_Options.html"><strong>Anterior</strong>2.5.4.3.4. Opciones de administraciÃ³n de recursos</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Useful_TCP_Wrappers_Websites.html"><strong>Siguiente</strong>2.5.5.2. Sitios web Ãºtiles relacionados con encap...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.2. Archivos de configuraciÃ³n de los encapsuladores TCP</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html" title="2.5. Encapsuladores TCP y xinetd"/><link rel="prev" href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html" title="2.5. Encapsuladores TCP y xinetd"/><link rel="next" href="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html" title="2.5.2.2. Campos de opciÃ³n"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Co
 ntent/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.5.2. Archivos de configuraciÃ³n de los encapsuladores TCP"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files">2.5.2. Archivos de configuraciÃ³n de los encapsuladores TCP</h3></div></div></div><div class="para">
			Para determinar si a un cliente le es permitido conectarse a un servidor, los encapsuladores TCP consultan los dos archivos siguientes, comÃºnmente denominados archivos de <em class="firstterm">acceso de equipos</em>:
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					<code class="filename">/etc/hosts.allow</code>
				</div></li><li class="listitem"><div class="para">
					<code class="filename">/etc/hosts.deny</code>
				</div></li></ul></div><div class="para">
			Cuando un servicio encapsulado por TCP recibe una peticiÃ³n de un cliente, realiza los siguientes pasos:
		</div><div class="orderedlist"><ol><li class="listitem"><div class="para">
					<span class="emphasis"><em>Consulta con <code class="filename">/etc/hosts.allow</code>.</em></span> â€” El servicio encapsulado por TCP analiza secuencialmente el archivo <code class="filename">/etc/hosts.allow</code> y aplica la primera regla especificada para ese servicio. Si encuentra una regla concordante, permite la conexiÃ³n. Si no, avanza al siguiente paso.
				</div></li><li class="listitem"><div class="para">
					<span class="emphasis"><em>Consulta con <code class="filename">/etc/hosts.deny</code>.</em></span> â€” El servicio encapsulado por TCP analiza secuencialmente el archivo <code class="filename">/etc/hosts.deny</code>. Si encuentra una regla concordante, niega la conexiÃ³n. Si no, permite el acceso al servicio.
				</div></li></ol></div><div class="para">
			Las siguientes son cuestiones importantes para considerar cuando se utilice encapsuladores TCP para proteger servicios de red:
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					Debido a que primero se aplican las reglas de acceso contenidas en <code class="filename">hosts.allow</code>, dejan un precedente sobre las reglas especificadas en <code class="filename">hosts.deny</code>. De este modo, si el acceso a un servicio es permitido en <code class="filename">hosts.allow</code>, serÃ¡ ignorada una regla negando el acceso al mismo servicio del archivo <code class="filename">hosts.deny</code>.
				</div></li><li class="listitem"><div class="para">
					Las reglas de cada archivo son leÃdas desde arriba hacia abajo, y la primera regla concordante para un servicio dado es la Ãºnica que serÃ¡ aplicada. El orden de las reglas es extremadamente importante.
				</div></li><li class="listitem"><div class="para">
					Si no se encuentran reglas para el servicio en el archivo, o el archivo no existe, el acceso al servicio es permitido.
				</div></li><li class="listitem"><div class="para">
					Los servicios encapsulados por TCP no conservan las reglas desde los archivos de acceso de los equipos, de modo que cualquier cambio en <code class="filename">hosts.allow</code> o <code class="filename">hosts.deny</code>, tienen efecto inmediato, sin necesidad de reiniciar los servicios de red.
				</div></li></ul></div><div class="warning"><h2>Advertencia</h2><div class="para">
				Si la Ãºltima lÃnea del archivo de acceso de un equipo no es un caracter de tipo nueva lÃnea (creado al presionar la tecla <span class="keycap"><strong>Enter</strong></span> key), la Ãºltima regla del archivo fallarÃ¡ y un error serÃ¡ registrado o bien en <code class="filename">/var/log/messages</code>, o bien en <code class="filename">/var/log/secure</code>. Este es el mismo caso de una regla que abarca lÃneas mÃºltiples sin utilizar el carcater de lÃnea invertida. El siguiente ejemplo muestra la secciÃ³n que nos interesa del fracaso de una regla debido a alguna de las circunstancias reciÃ©n descritas:
			</div><pre class="screen">warning: /etc/hosts.allow, line 20: missing newline or line too long
</pre></div><div class="section" title="2.5.2.1. Formateo de las reglas de acceso"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Formatting_Access_Rules">2.5.2.1. Formateo de las reglas de acceso</h4></div></div></div><div class="para">
				El formato tanto de <code class="filename">/etc/hosts.allow</code> como de <code class="filename">/etc/hosts.deny</code> es el mismo. Cada regla debe estar en su propia lÃnea. LÃneas vacÃas o lÃneas que empiezan con el sÃmbolo numeral (#) son ignoradas.
			</div><div class="para">
				Cada regla utiliza el siguiente formato bÃ¡sico para controlar el acceso a los servicios de red:
			</div><pre class="screen"><em class="replaceable"><code><daemon list></code></em>: <em class="replaceable"><code><client list></code></em> [: <em class="replaceable"><code><option></code></em>: <em class="replaceable"><code><option></code></em>: ...]
</pre><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<em class="replaceable"><code><daemon list></code></em> â€” Una lista separadas por comas de nombres de procesos (y <span class="emphasis"><em>no</em></span> el nombre de los servicios), o la opciÃ³n <code class="option">ALL</code>. La lista del demonio tambiÃ©n acepta operadores (vea la <a class="xref" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html#sect-Security_Guide-Formatting_Access_Rules-Operators" title="2.5.2.1.4. Operadores">SecciÃ³nÂ 2.5.2.1.4, â€œOperadoresâ€</a>) para permitir mayor flexibilidad.
					</div></li><li class="listitem"><div class="para">
						<em class="replaceable"><code><client list></code></em> â€” Una lista separada por comas de nombres de equipos, direcciones IP de los equipos, patrones especiales o comodines que identifican a los equipos afectados por la regla. La lista de cliente tambiÃ©n acepta los operadores mostrados en la <a class="xref" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html#sect-Security_Guide-Formatting_Access_Rules-Operators" title="2.5.2.1.4. Operadores">SecciÃ³nÂ 2.5.2.1.4, â€œOperadoresâ€</a> para permitir mayor flexibilidad.
					</div></li><li class="listitem"><div class="para">
						<em class="replaceable"><code><opcion></code></em> â€” Una acciÃ³n, o una lista de acciones optativas separadas por puntos y comas, a realizarse cuando la regla sea disparada. Los campos de opciÃ³n tienen soporte para expansiones, comandos de apertura de terminales, permitir o negar acceso, y modificar la conducta de registro.
					</div></li></ul></div><div class="note"><h2>Nota</h2><div class="para">
					Puede encontrarse mayor informaciÃ³n acerca de los tÃ©rminos reciÃ©n vistos en otras partes de esta GuÃa:
				</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
							<a class="xref" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html#sect-Security_Guide-Formatting_Access_Rules-Wildcards" title="2.5.2.1.1. Comodines">SecciÃ³nÂ 2.5.2.1.1, â€œComodinesâ€</a>
						</div></li><li class="listitem"><div class="para">
							<a class="xref" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html#sect-Security_Guide-Formatting_Access_Rules-Patterns" title="2.5.2.1.2. Patrones">SecciÃ³nÂ 2.5.2.1.2, â€œPatronesâ€</a>
						</div></li><li class="listitem"><div class="para">
							<a class="xref" href="sect-Security_Guide-Option_Fields-Expansions.html" title="2.5.2.2.4. Expansiones">SecciÃ³nÂ 2.5.2.2.4, â€œExpansionesâ€</a>
						</div></li><li class="listitem"><div class="para">
							<a class="xref" href="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html" title="2.5.2.2. Campos de opciÃ³n">SecciÃ³nÂ 2.5.2.2, â€œCampos de opciÃ³nâ€</a>
						</div></li></ul></div></div><div class="para">
				A continuaciÃ³n se muestra el ejemplo de una regla bÃ¡sica de acceso de equipos:
			</div><pre class="screen">vsftpd : .ejemplo.com
</pre><div class="para">
				Esta regla estÃ¡ indicando a los encapsuladores TCP que observen las conexiones del demonio FTP (<code class="systemitem">vsftpd</code>) desde cualquier equipo en el dominio <code class="systemitem">ejemplo.com</code>. Si esta regla aparece en <code class="filename">hosts.allow</code>, la conexiÃ³n es aceptada. Si esta regla figura en <code class="filename">hosts.deny</code>, la conexiÃ³n es negada.
			</div><div class="para">
				El siguiente ejemplo de regla de acceso de equipos es mÃ¡s compleja y utiliza dos campos de opciones:
			</div><pre class="screen">sshd : .example.com  \ : spawn /bin/echo `/bin/date` access denied>>/var/log/sshd.log \ : deny
</pre><div class="para">
				FÃjese que cada campo de opciÃ³n es precedido por la barra invertida (\). La utilizaciÃ³n de esta barra previene el fallo de la regla debido a su longitud.
			</div><div class="para">
				Esta regla de ejemplo establece que si se intenta establecer una conexiÃ³n con el demonio SSH (<code class="systemitem">sshd</code>) desde algÃºn equipo del dominio <code class="systemitem">example.com</code>, ejecute el comando <code class="command">echo</code> para aÃ±adir el intento en un archivo de log especial, y negar la conexiÃ³n. Debido a que la directiva opcional <code class="command">deny</code> es utilizada, esta lÃnea niega el acceso aÃºn si figura en el archivo <code class="filename">hosts.allow</code>. Para conocer en detalle otras opciones disponibles, vea la <a class="xref" href="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html" title="2.5.2.2. Campos de opciÃ³n">SecciÃ³nÂ 2.5.2.2, â€œCampos de opciÃ³nâ€</a>.
			</div><div class="section" title="2.5.2.1.1. Comodines"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Formatting_Access_Rules-Wildcards">2.5.2.1.1. Comodines</h5></div></div></div><div class="para">
					Los comodines le permiten a los encapsuladores TCP poder corresponderse mÃ¡s fÃ¡cilmente con grupos de demonios de equipos. Son mÃ¡s frecuentemente utilizados en el campo lista de cliente de las reglas de acceso.
				</div><div class="para">
					Los siguientes comodines estÃ¡n disponibles:
				</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
							<code class="option">ALL</code> â€” Se corresponde con todo. Puede ser utilizado tanto para la lista del demonio como con la lista del cliente.
						</div></li><li class="listitem"><div class="para">
							<code class="option">LOCAL</code> â€” Se corresponde con cualquier equipo que no contenga un punto (.), como por ejemplo el equipo local.
						</div></li><li class="listitem"><div class="para">
							<code class="option">KNOWN</code> â€” Se corresponde con cualquier equipo cuyo nombre y la direcciÃ³n sean conocidas o donde el usuario sea conocido.
						</div></li><li class="listitem"><div class="para">
							<code class="option">UNKNOWN</code> â€” Se corresponde con cualquier equipo cuyo nombre o direcciÃ³n sean desconocidos, o donde el usuario sea desconocido.
						</div></li><li class="listitem"><div class="para">
							<code class="option">PARANOID</code> â€” Se corresponde con cualquier equipo cuyo nombre no concuerde con su direcciÃ³n.
						</div></li></ul></div><div class="important"><h2>Importante</h2><div class="para">
						Los comodines <code class="option">KNOWN</code>, <code class="option">UNKNOWN</code>, y <code class="option">PARANOID</code> deben ser utilizados con cuidado, ya que dependen del servidor DNS que se estÃ© utilizando para su operaciÃ³n correcta. Cualquier interrupciÃ³n de la resoluciÃ³n de nombres podrÃa causar que se les niegue acceso al servicio a los usuarios legÃtimos.
					</div></div></div><div class="section" title="2.5.2.1.2. Patrones"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Formatting_Access_Rules-Patterns">2.5.2.1.2. Patrones</h5></div></div></div><div class="para">
					Pueden utilizarse patrones en el campo cliente de las reglas de acceso para especificar grupos de equipos de clientes en forma mÃ¡s precisa.
				</div><div class="para">
					A continuaciÃ³n mostramos una lista con patrones comunes para entradas en el campo cliente:
				</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
							<span class="emphasis"><em>Nombre de equipo empezando con un punto (.)</em></span> â€” Colocar un punto al comienzo del nombre de un equipo hace que se correspondan todos los equipos que comparten los componentes del nombre en la lista. El siguiente ejemplo se aplica a cualquier equipo dentro del dominio <code class="systemitem">ejemplo.com</code>:
						</div><pre class="screen">ALL : .ejemplo.com
</pre></li><li class="listitem"><div class="para">
							<span class="emphasis"><em>DirecciÃ³n IP que finaliza con un punto (.)</em></span> â€” Colocar un punto al finalizar una direcciÃ³n IP hace que se correspondan todos los equipos que comparten los grupos numÃ©ricos iniciales de una direcciÃ³n IP. El siguiente ejemplo se aplica a cualquier equipo dentro de la red <code class="systemitem">192.168.x.x</code>:
						</div><pre class="screen">ALL : 192.168.
</pre></li><li class="listitem"><div class="para">
							<span class="emphasis"><em>DirecciÃ³n IP/par de mÃ¡scara de red</em></span> â€” Las expresiones de mÃ¡scaras de red tambiÃ©n pueden utilizarse como un patrÃ³n para controlar el acceso de un grupo determinado de direcciones IP. El siguiente ejemplo se aplica a cualquier equipo con un rango de direcciones desde <code class="systemitem">192.168.0.0</code> hasta <code class="systemitem">192.168.1.255</code>:
						</div><pre class="screen">ALL : 192.168.0.0/255.255.254.0
</pre><div class="important"><h2>Importante</h2><div class="para">
								Cuando se estÃ© trabajando en el espacio de direcciones IPv4, la longitud del par direcciÃ³n/prefijo (<em class="firstterm">prefixlen</em>) en las declaraciones (notaciÃ³n <abbr class="abbrev">CIDR</abbr>) no estÃ¡n soportadas. Solo las reglas IPv6 pueden utilizar este formato.
							</div></div></li><li class="listitem"><div class="para">
							<span class="emphasis"><em>[direcciones IPv6]/par prefixlen</em></span> â€” los pares [red]/prefixlen tambiÃ©n pueden ser utilizados como un patrÃ³n para controlar el acceso de un grupo determinado de direcciones IPv6. El siguiente ejemplo se aplica a cualquier equipo en un rango de <code class="systemitem">3ffe:505:2:1::</code> hasta <code class="systemitem">3ffe:505:2:1:ffff:ffff:ffff:ffff</code>:
						</div><pre class="screen">ALL : [3ffe:505:2:1::]/64
</pre></li><li class="listitem"><div class="para">
							<span class="emphasis"><em>El asterisco (*)</em></span> â€” Los asteriscos pueden ser utilizados para hacer concordar grupos enteros de nombres de equipos o direcciones IP, siempre y cuando no estÃ©n mezclados en listas de clientes que contengan otro tipo de patrones. El siguiente ejemplo se puede aplicar a cualquier equipo dentro del dominio <code class="systemitem">ejemplo.com</code>:
						</div><pre class="screen">ALL : *.ejemplo.com
</pre></li><li class="listitem"><div class="para">
							<span class="emphasis"><em>La barra (/)</em></span> â€” Si una lista de cliente comienza con una barra, serÃ¡ tratada como un nombre de archivo. Esto es Ãºtil si se necesitan reglas especificando grandes cantidades de equipos. El siguiente ejemplo referencia encapsuladores TCP al archivo <code class="filename">/etc/telnet.hosts</code> para todas las conexiones Telnet.
						</div><pre class="screen">in.telnetd : /etc/telnet.hosts
</pre></li></ul></div><div class="para">
					Existen otros patrones menos utilizados que tambiÃ©n aceptan los encapsuladores TCP. Para obtener mayor informaciÃ³n, vea la pÃ¡gina man 5 de <code class="filename">hosts_access</code>.
				</div><div class="warning"><h2>Advertencia</h2><div class="para">
						Sea muy cuidadoso al utilizar nombres de equipos y de dominios. Los atacantes pueden utilizar una gran variedad de trucos para sortear dificultades y obtener resoluciones de nombres adecuadas. AdemÃ¡s, la interrupciÃ³n del servicio DNS impide la utilizaciÃ³n de los servicios de red incluso a los usuarios autorizados. De modo que, lo mejor es utilizar direcciones IP siempre que sea posible.
					</div></div></div><div class="section" title="2.5.2.1.3. Portmap y encapsuladores TCP"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Formatting_Access_Rules-Portmap_and_TCP_Wrappers">2.5.2.1.3. Portmap y encapsuladores TCP</h5></div></div></div><div class="para">
					La implementaciÃ³n de <code class="command">Portmap</code> de los encapsuladores TCP no tiene soporte para bÃºsqueda de equipos, lo que significa que <code class="command">Portmap</code> no puede utilizar los nombres de los equipos para identificarlos. Por lo tanto, las reglas de control de acceso para portmap en <code class="filename">hosts.allow</code> o <code class="filename">hosts.deny</code>, deben ser direcciones IP, o la palabra clave <code class="option">ALL</code> para especificar equipos.
				</div><div class="para">
					Los cambios en las reglas de control de acceso de <code class="command">portmap</code> podrÃan no tener efecto inmediatamente. Tal vez necesite reiniciar el servicio <code class="command">portmap</code>.
				</div><div class="para">
					Servicios muy utilizados, como NIS o NFS, dependen de <code class="command">portmap</code> para funcionar, de modo que tenga en cuenta estas limitaciones.
				</div></div><div class="section" title="2.5.2.1.4. Operadores"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Formatting_Access_Rules-Operators">2.5.2.1.4. Operadores</h5></div></div></div><div class="para">
					Hoy en dÃa, las reglas de control de acceso aceptan un operador, <code class="option">EXCEPT</code>. Puede ser utilizado tanto en la lista de demonio como en la lista cliente de una regla.
				</div><div class="para">
					El operador <code class="option">EXCEPT</code> permite excepciones especÃficas para ampliar las correspondencias dentro de una misma regla.
				</div><div class="para">
					En el siguiente ejemplo de un archivo <code class="filename">hosts.allow</code>, todos los equipos <code class="systemitem">ejemplo.com</code> tienen permitido conectarse a todos los servicios, exepcto <code class="systemitem">cracker.ejemplo.com</code>:
				</div><pre class="screen">ALL: .ejemplo.com EXCEPT cracker.ejemplo.com
</pre><div class="para">
					En otro ejemplo de un archivo <code class="filename">hosts.allow</code>, los clientes de la red <code class="systemitem">192.168.0.<em class="replaceable"><code>x</code></em></code> pueden utilizar todos los servicios con excepciÃ³n de FTP:
				</div><pre class="screen">ALL EXCEPT vsftpd: 192.168.0.
</pre><div class="note"><h2>Nota</h2><div class="para">
						En tÃ©rminos de organizaciÃ³n, generalmente es mÃ¡s sencillo evitar la utilizaciÃ³n de operadores <code class="option">EXCEPT</code>. Esto permite que otros administradores analicen rÃ¡pidamente los archivos apropiados para ver a quÃ© equipos se les permite o se les niega el acceso a los servicios, sin tener que organizar los operadores <code class="option">EXCEPT</code>.
					</div></div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html"><strong>Anterior</strong>2.5. Encapsuladores TCP y xinetd</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html"><strong>Siguiente</strong>2.5.2.2. Campos de opciÃ³n</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.3. xinetd</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html" title="2.5. Encapsuladores TCP y xinetd"/><link rel="prev" href="sect-Security_Guide-Option_Fields-Expansions.html" title="2.5.2.2.4. Expansiones"/><link rel="next" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html" title="2.5.4. Archivos de configuraciÃ³n de xinetd"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt=
 "Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Option_Fields-Expansions.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.5.3. xinetd"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd">2.5.3. xinetd</h3></div></div></div><div class="para">
			El demonio <code class="systemitem">xinetd</code> es un <em class="firstterm">sÃºper servicio</em> encapsulado por TCP, que controla el acceso a un subconjunto de servicios de red muy utilizados, como por ejemplo FTP, IMAP y Telnet. TambiÃ©n ofrece opciones de configuraciÃ³n de servicio especÃficas para control de acceso, registros mejorados, uniones, redirecciones y control de la utilizaciÃ³n de los recursos.
		</div><div class="para">
			Cuando un cliente intenta conectarse a un servicio de red controlado por <code class="systemitem">xinetd</code>, el sÃºper servicio recibe la peticiÃ³n y verifica la existencia de reglas de control de acceso para encapsuladores TCP.
		</div><div class="para">
			Si el acceso es permitido, <code class="systemitem">xinetd</code> verifica que la conexiÃ³n sea permitida bajo sus propias reglas de acceso para ese servicio. TambiÃ©n verifica que el servicio pueda tener mÃ¡s recursos disponibles, y que no estÃ© en contradicciÃ³n con ninguna otra regla definida.
		</div><div class="para">
			Si todas estas condiciones se cumplen (es decir, el acceso al servicio es permitido; el servicio no ha alcanzado el lÃmite de sus recursos; y el servicio no entra en colisiÃ³n con ninguna otra regla definida), entonces <code class="systemitem">xinetd</code> inicia una instancia del servicio solicitado y le pasa el control de la conexiÃ³n. Luego que la conexiÃ³n haya sido establecida, <code class="systemitem">xinetd</code> deja de formar parte en la comunicaciÃ³n entre el cliente y el servidor.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Option_Fields-Expansions.html"><strong>Anterior</strong>2.5.2.2.4. Expansiones</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html"><strong>Siguiente</strong>2.5.4. Archivos de configuraciÃ³n de xinetd</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.4. Archivos de configuraciÃ³n de xinetd</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html" title="2.5. Encapsuladores TCP y xinetd"/><link rel="prev" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd.html" title="2.5.3. xinetd"/><link rel="next" href="sect-Security_Guide-xinetd_Configuration_Files-The_etcxinetd.d_Directory.html" title="2.5.4.2. El directorio /etc/xinetd.d/"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/image
 s/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-xinetd_Configuration_Files-The_etcxinetd.d_Directory.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.5.4. Archivos de configuraciÃ³n de xinetd"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files">2.5.4. Archivos de configuraciÃ³n de xinetd</h3></div></div></div><div class="para">
			Los archivos de configuraciÃ³n para <code class="systemitem">xinetd</code> son los siguientes:
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					<code class="filename">/etc/xinetd.conf</code> â€” El archivo de configuraciÃ³n general de <code class="systemitem">xinetd</code>.
				</div></li><li class="listitem"><div class="para">
					<code class="filename">/etc/xinetd.d/</code> â€” El directorio continente de todos los archivos especÃficos para cada servicio.
				</div></li></ul></div><div class="section" title="2.5.4.1. El archivo /etc/xinetd.conf"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-xinetd_Configuration_Files-The_etcxinetd.conf_File">2.5.4.1. El archivo /etc/xinetd.conf</h4></div></div></div><div class="para">
				El archivo <code class="filename">/etc/xinetd.conf</code> contiene parÃ¡metros de configuraciones generales que afectan cada servicio controlado por <code class="systemitem">xinetd</code>. Es leido cuando el servicio <code class="systemitem">xinetd</code> es iniciado por primera vez, de modo que para que los cambios en la configuraciÃ³n tengan efecto, habrÃ¡ que reiniciar el servicio <code class="systemitem">xinetd</code>. El siguiente es un ejemplo del archivo <code class="filename">/etc/xinetd.conf</code>.
			</div><pre class="screen">defaults
{
         instances               = 60        
         log_type                = SYSLOG        authpriv
         log_on_success          = HOST PID
         log_on_failure          = HOST
         cps                     = 25 30
}
includedir /etc/xinetd.d
</pre><div class="para">
				Estas lineas controlan los siguientes aspectos de <code class="systemitem">xinetd</code>:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<code class="option">instances</code> â€” Indica el nÃºmero mÃ¡ximo de peticiones simultÃ¡neas que puede procesar <code class="systemitem">xinetd</code>.
					</div></li><li class="listitem"><div class="para">
						<code class="option">log_type</code> â€” Configura <code class="systemitem">xinetd</code> para utilizar la herramienta de registro <code class="command">authpriv</code>, que guarda entradas de registro en el archivo <code class="filename">/var/log/secure</code>. Agregar una directiva como <code class="option">FILE /var/log/xinetdlog</code> podrÃa crear un archivo de registro modificado denominado <code class="filename">xinetdlog</code> en el directorio <code class="filename">/var/log/</code>.
					</div></li><li class="listitem"><div class="para">
						<code class="option">log_on_success</code> â€” configura <code class="systemitem">xinetd</code> para registrar intentos de conexiÃ³n exitosos. Por defecto, son registradas la direcciÃ³n IP del equipo remoto y los ID de los procesos del servidor que estÃ¡ procesando la peticiÃ³n.
					</div></li><li class="listitem"><div class="para">
						<code class="option">log_on_failure</code> â€” Configura <code class="systemitem">xinetd</code> para registrar intentos de conexiÃ³n fallidos, o casos en que la conexiÃ³n fue negada.
					</div></li><li class="listitem"><div class="para">
						<code class="option">cps</code> â€” Configura <code class="systemitem">xinetd</code> para permitir mÃ¡s de 25 conexiones por segundo hacia cualquier servicio dado. Si el lÃmite es superado, el servicio se retira durante 30 segundos.
					</div></li><li class="listitem"><div class="para">
						<code class="option">includedir</code> <code class="filename">/etc/xinetd.d/</code> â€” Incluye opciones declaradas en los archivos de configuraciÃ³n propios de cada servicio, ubicados en el directorio <code class="filename">/etc/xinetd.d/</code>. Para obtener mayor infirmaciÃ³n, consulte <a class="xref" href="sect-Security_Guide-xinetd_Configuration_Files-The_etcxinetd.d_Directory.html" title="2.5.4.2. El directorio /etc/xinetd.d/">SecciÃ³nÂ 2.5.4.2, â€œEl directorio /etc/xinetd.d/â€</a>.
					</div></li></ul></div><div class="note"><h2>Nota</h2><div class="para">
					A menudo, tanto las configuraciones <code class="option">log_on_success</code> como <code class="option">log_on_failure</code> establecidas en <code class="filename">/etc/xinetd.conf</code> son modificadas posteriormente en los archivos de configuraciÃ³n propios de cada servicio. Por lo tanto existirÃ¡ mayor informaciÃ³n en el archivo de registro de un servicio dado, que la que pueda indicar el archivo <code class="filename">/etc/xinetd.conf</code>. Para mayor informaciÃ³n, vea la <a class="xref" href="sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html#sect-Security_Guide-Altering_xinetd_Configuration_Files-Logging_Options" title="2.5.4.3.1. Opciones para registrado">SecciÃ³nÂ 2.5.4.3.1, â€œOpciones para registradoâ€</a>.
				</div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd.html"><strong>Anterior</strong>2.5.3. xinetd</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-xinetd_Configuration_Files-The_etcxinetd.d_Directory.html"><strong>Siguiente</strong>2.5.4.2. El directorio /etc/xinetd.d/</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-TCP_Wrappers_and_xinetd.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5. Encapsuladores TCP y xinetd</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Securing_Your_Network.html" title="CapÃtulo 2. Asegurando su Red"/><link rel="prev" href="sect-Security_Guide-Additional_Resources-Useful_PAM_Websites.html" title="2.4.8.2. Sitios web Ãºtiles sobre PAM"/><link rel="next" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html" title="2.5.2. Archivos de configuraciÃ³n de los encapsuladores TCP"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedo
 raproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Useful_PAM_Websites.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="section" title="2.5. Encapsuladores TCP y xinetd"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-TCP_Wrappers_and_xinetd">2.5. Encapsuladores TCP y xinetd</h2></div></div></div><div class="para">
		Controlar el acceso a los servicios de red es una de las tareas mÃ¡s importantes que deben realizar los administradores de servidor relacionadas con la seguridad. Fedora ofrece diferentes herramientas para este propÃ³sito. Por ejemplo, filtros de cortafuegos basados en <code class="command">iptables</code>, no permiten el ingreso a la configuraciÃ³n del kernel a todos aquellos paquetes que no hayan sido solicitados. Para los servicios de red que lo utilizan, los <em class="firstterm">Encapsuladores TCP</em> aÃ±aden una capa de protecciÃ³n adicional al definir los equipos que tienen o no permitida la conexiÃ³n a los servicios de red "<span class="emphasis"><em>encapsulados</em></span>". Tal servicio de red encapsulado es el <span class="emphasis"><em>sÃºper servidor</em></span> <code class="systemitem">xinetd</code>. Este servicio es llamado un sÃºper servidor debido a que controla las conexiones de una serie de subservicios de red y posteriormente refina el control de acces
 o.
	</div><div class="para">
		<a class="xref" href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html#figu-Security_Guide-TCP_Wrappers_and_xinetd-Access_Control_to_Network_Services" title="Figura 2.9. Control de acceso a servicios de red">FiguraÂ 2.9, â€œControl de acceso a servicios de redâ€</a> es una ilustraciÃ³n bÃ¡sica acerca de cÃ³mo estas herramientas trabajan conjuntamente para proteger los servicios de red.
	</div><div class="figure" id="figu-Security_Guide-TCP_Wrappers_and_xinetd-Access_Control_to_Network_Services"><div class="figure-contents"><div class="mediaobject"><img src="images/tcp_wrap_diagram.png" alt="Control de acceso a servicios de red"/><div class="longdesc"><div class="para">
					A: Control de acceso al flujo de datos de los servicios de red
				</div></div></div></div><h6>Figura 2.9. Control de acceso a servicios de red</h6></div><br class="figure-break"/><div class="para">
		El siguiente capÃtulo se concentra en el papel que tienen de los encapsuladores TCP y <code class="systemitem">xinetd</code> al controlar acceso a los servicios de red, y analiza de quÃ© manera estas herramientas pueden ser utilizadas para mejorar tanto el registro como la administraciÃ³n de su utilizaciÃ³n. Para obtener mayor informaciÃ³n utilizando cortafuegos con <code class="command">iptables</code>, vea la <a class="xref" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables">SecciÃ³nÂ 2.9, â€œIPTablesâ€</a>.
	</div><div class="section" title="2.5.1. Encapsuladores TCP"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers">2.5.1. Encapsuladores TCP</h3></div></div></div><div class="para">
			El paquete de los encapsuladores TCP (<code class="filename">tcp_wrappers</code>) se encuentra instalado por defecto y ofrece control de acceso a los servicios de red basado en los equipos. El componente mÃ¡s importante de este paquete es la biblioteca <code class="filename">/usr/lib/libwrap.a</code>. En tÃ©rminos generales, un servicio encapsulado por TCP es un servicio que ha sido compilado con la biblioteca <code class="filename">libwrap.a</code>.
		</div><div class="para">
			Cuando se realiza un intento de conexiÃ³n a un servicio encapsulado por TCP, el servicio primero consulta los archivos de acceso del equipo (<code class="filename">/etc/hosts.allow</code> y <code class="filename">/etc/hosts.deny</code>) para determinar en quÃ© casos el equipo tiene permitida la conexiÃ³n. Generalmente, luego utiliza al demonio syslog (<code class="systemitem">syslogd</code>) para escribir el nombre del cliente solicitante y del servicio solicitado en los archivos <code class="filename">/var/log/secure</code> o <code class="filename">/var/log/messages</code>.
		</div><div class="para">
			Si un cliente tiene permitida la conexiÃ³n, los encapsuladores TCP liberan el control de la conexiÃ³n al servicio solicitado, y abandonan el proceso de comunicaciÃ³n entre el cliente y el servidor.
		</div><div class="para">
			AdemÃ¡s del control de acceso y registro, los encapsuladores TCP pueden ejecutar comandos para interactuar con el cliente antes que sea negado el control de la conexiÃ³n, o antes de abandonar el proceso de conexiÃ³n al servicio de red solicitado.
		</div><div class="para">
			Debido a que los encapsuladores TCP son un valioso agregado al equipo de herramientas de seguridad que cualquier administrador de servidor posee, muchos servicios de red dentro de Fedora se encuentran enlazados con la biblioteca <code class="filename">libwrap.a</code>. Algunas de estas aplicaciones son <code class="systemitem">/usr/sbin/sshd</code>, <code class="command">/usr/sbin/sendmail</code>, y <code class="systemitem">/usr/sbin/xinetd</code>.
		</div><div class="note"><h2>Nota</h2><div class="para">
				Para determinar si un servicio de red ejecutable estÃ¡ enlazado con <code class="filename">libwrap.a</code>, ingrese el siguiente comando como usuario root:
			</div><pre class="screen">ldd <nombre-binario> | grep libwrap
</pre><div class="para">
				Reemplace <em class="replaceable"><code><binary-name></code></em> con el nombre del servicio de red ejecutable.
			</div><div class="para">
				Si el comando no le devuelve ninguna informaciÃ³n, entonces el servicio de red <span class="emphasis"><em>no</em></span> se encuentra enlazado con <code class="filename">libwrap.a</code>.
			</div><div class="para">
				El siguiente ejemplo inidica que <code class="systemitem">/usr/sbin/sshd</code> se encuentra enlazado con <code class="filename">libwrap.a</code>:
			</div><pre class="screen">[root at myServer ~]# ldd /usr/sbin/sshd | grep libwrap
        libwrap.so.0 => /lib/libwrap.so.0 (0x00655000)
[root at myServer ~]#
</pre></div><div class="section" title="2.5.1.1. Ventajas de los Encapsuladores TCP"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-TCP_Wrappers-Advantages_of_TCP_Wrappers">2.5.1.1. Ventajas de los Encapsuladores TCP</h4></div></div></div><div class="para">
				Los encapsuladores TCP ofrecen las siguientes ventajas en comparaciÃ³n con otras tÃ©cnicas para el control de servicios de red:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<span class="emphasis"><em>Transparencia tanto para el cliente como para el servicio de red encapuslado</em></span> â€” Tanto el cliente que estÃ¡ conectÃ¡ndose como el servicio de red, no tienen conocimiento de que los encapsuladores TCP estÃ¡n siendo utilizados. Los usuarios legÃtimos se registran y conectan a los servicios solicitados, mientras que no se realizan las conexiones pedidas por clientes no autorizados.
					</div></li><li class="listitem"><div class="para">
						<span class="emphasis"><em>AdministraciÃ³n centralizada de mÃºltiples protocolos</em></span> â€” los encapsuladores TCP operan en forma separada de los servicios de red que protegen, permitiendo asÃ que varias aplicaciones de servidor compartan un conjunto comÃºn de archivos de configuraciÃ³n de control de acceso, haciendo posible que la administraciÃ³n sea mÃ¡s sencilla.
					</div></li></ul></div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Useful_PAM_Websites.html"><strong>Anterior</strong>2.4.8.2. Sitios web Ãºtiles sobre PAM</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html"><strong>Siguiente</strong>2.5.2. Archivos de configuraciÃ³n de los encapsula...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Threats_to_Server_Security-Inattentive_Administration.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.3.3.3. AdministraciÃ³n desatendida</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html" title="1.3.3. Amenazas a la seguridad del servidor"/><link rel="prev" href="sect-Security_Guide-Threats_to_Server_Security-Unpatched_Services.html" title="1.3.3.2. Servicios no parchados"/><link rel="next" href="sect-Security_Guide-Threats_to_Server_Security-Inherently_Insecure_Services.html" title="1.3.3.4. Servicios inseguros en sÃ mismos"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a cla
 ss="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Threats_to_Server_Security-Unpatched_Services.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Threats_to_Server_Security-Inherently_Insecure_Services.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="1.3.3.3. AdministraciÃ³n desatendida"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Threats_to_Server_Security-Inattentive_Administration">1.3.3.3. AdministraciÃ³n desatendida</h4></div></div></div><div class="para">
				Los administradores que no pueden enmendar sus sistemas son una de las mayores amenazas a la seguridad del servidor. De acuerdo con el <em class="firstterm">Instituto de administradores de sistemas, auditorÃa, red y seguridad</em> (<em class="firstterm">SANS</em>, por las iniciales en inglÃ©s de SysAdmin, Audit, Network, Security Institute), la principal causa de la vulnerabilidad de la seguridad en computaciÃ³n es "asignar personal no entrenado para encargarse de la seguridad, y no ofrecerles ni el entrenamiento ni el tiempo necesario para permitirles realizar su trabajo" <sup>[<a id="d0e963" href="#ftn.d0e963" class="footnote">10</a>]</sup>. Esto funciona tanto para los administradores sin experiencia, como para aquellos con excesiva confianza en sÃ mismos, o aquellos que no estÃ¡n del todo motivados en sus tareas.
			</div><div class="para">
				Alguno administradores no pueden enmendar sus servidores o estaciones de trabajo, y otros no le prestan atenciÃ³n a los mensajes de registro enviados desde el kernel del sistema, o generados por el trÃ¡fico en la red. Otro error comÃºn se produce al no modificar las contraseÃ±as o claves establecidas por defecto para los servicios. Por ejemplo, algunas bases de datos tienen contraseÃ±as administrativas generadas por defecto, debido a que los desarrolladores de las bases de datos presuponen que el administrador del sistema las modificarÃ¡ inmediatamente despuÃ©s de haberla instalado en su sistema. Si un administrador de una base de datos no cambia la contraseÃ±a, incluso un atacante sin demasiada experiencia puede utilizar una amplia gama de contraseÃ±as que se sabe le pueden otorgar privilegios de administrador en esa base de datos. Estos son sÃ³lo algunos ejemplos que ilustran de quÃ© manera una administraciÃ³n dÃ©bil puede ocasionar la vulnerabilidad de los servidores.
			</div><div class="footnotes"><br/><hr/><div class="footnote"><p><sup>[<a id="ftn.d0e963" href="#d0e963" class="para">10</a>] </sup>
					http://www.sans.org/resources/errors.php
				</p></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Threats_to_Server_Security-Unpatched_Services.html"><strong>Anterior</strong>1.3.3.2. Servicios no parchados</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Threats_to_Server_Security-Inherently_Insecure_Services.html"><strong>Siguiente</strong>1.3.3.4. Servicios inseguros en sÃ mismos</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Threats_to_Server_Security-Inherently_Insecure_Services.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.3.3.4. Servicios inseguros en sÃ mismos</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html" title="1.3.3. Amenazas a la seguridad del servidor"/><link rel="prev" href="sect-Security_Guide-Threats_to_Server_Security-Inattentive_Administration.html" title="1.3.3.3. AdministraciÃ³n desatendida"/><link rel="next" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security.html" title="1.3.4. Amenazas a las estaciones de trabajo y seguridad en equipos hogareÃ±os"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img s
 rc="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Threats_to_Server_Security-Inattentive_Administration.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="1.3.3.4. Servicios inseguros en sÃ mismos"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Threats_to_Server_Security-Inherently_Insecure_Services">1.3.3.4. Servicios inseguros en sÃ mismos</h4></div></div></div><div class="para">
				Incluso la organizaciÃ³n mÃ¡s precavida puede ser vÃctima de sus puntos dÃ©biles, si elige utilizar servicios de red inseguros. Por ejemplo, existen numerosos servicios desarrollados presuponiendo que serÃ¡n utilizados en redes que se consideran confiables. Sin embargo, este presupuesto deja de funcionar ni bien el servicio se utiliza en Internet â€” que es considerada una red insegura.
			</div><div class="para">
				Una categorÃa de servicios de red no seguros son aquellos que en el momento de la autenticaciÃ³n, piden nombres de usuario y contraseÃ±as que no estÃ©n encriptados. Telnet y FTP son dos ejemplos de este tipo de servicios. Si algÃºn software diseÃ±ado para sustraer informaciÃ³n se encuentre vigilando el trÃ¡fico entre el usuario remoto y un servicio con estas caracterÃsticas, tanto los nombres de usuario como las contraseÃ±as pueden ser interceptadas fÃ¡cilmente.
			</div><div class="para">
				En consecuencia, tales servicios pueden rÃ¡pidamente fracasar gracias al ataque de lo que en la industria de la seguridad se denomina <em class="firstterm">el-hombre-en-el-medio</em>. En este tipo de ataques, el agresor redirige el trÃ¡fico de red a su mÃ¡quina, simulando el nombre del servidor original hacia donde los paquetes fueron enviados. Una vez que alguien inicie una sesiÃ³n remota hacia el servidor, la mÃ¡quina del atacante actÃºa como un conducto invisible, ubicada silenciosamente entre el servicio remoto y el desprevenido usuario, capturando toda la informaciÃ³n que este envÃe. De esta manera el atacante puede recopilar contraseÃ±as administrativas y datos crudos sin que el servidor ni el usuario puedan darse cuenta de ello.
			</div><div class="para">
				Otra categorÃa de servicios no seguros incluyen sistemas de archivos de red, y servicios de informaciÃ³n tales como NFS o NIS, que se desarrollan especÃficamente para una utilizaciÃ³n LAN, pero que desafortunadamente se extienden para incluir WANs (para usuarios remotos). NFS, por defecto, no tiene configurados mecanismos ni de autenticaciÃ³n ni de seguridad de modo de prevenir que un atacante pueda montar la porciÃ³n compartida de NFS y acceda a cualquiera sea la informaciÃ³n que ella contenga. De manera parecida, NIS posee informaciÃ³n vital en una base de datos con formato ASCII o DBM (derivado de ASCII), que debe ser accedida por cualquiera de los equipos en la red, incluyendo contraseÃ±as y permisos de archivo. Un atacante que obtenga acceso a esta base de datos, tendrÃ¡ acceso a cualquier cuenta de los usuario de la red, incluyendo la del administrador.
			</div><div class="para">
				Por defecto, Fedora es liberada con todos estos servicios apagados. Sin embargo, dado que los administradores a menudo se encuentran obligados a utilizarlos, es muy importante realizar cuidadosamente la configuraciÃ³n de ellos. Para obtener mayor informaciÃ³n acerca de cÃ³mo configurar los servicios en forma segura, vea <a class="xref" href="sect-Security_Guide-Server_Security.html" title="2.2. Seguridad del servidor">SecciÃ³nÂ 2.2, â€œSeguridad del servidorâ€</a>.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Threats_to_Server_Security-Inattentive_Administration.html"><strong>Anterior</strong>1.3.3.3. AdministraciÃ³n desatendida</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security.html"><strong>Siguiente</strong>1.3.4. Amenazas a las estaciones de trabajo y seg...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Threats_to_Server_Security-Unpatched_Services.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.3.3.2. Servicios no parchados</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html" title="1.3.3. Amenazas a la seguridad del servidor"/><link rel="prev" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html" title="1.3.3. Amenazas a la seguridad del servidor"/><link rel="next" href="sect-Security_Guide-Threats_to_Server_Security-Inattentive_Administration.html" title="1.3.3.3. AdministraciÃ³n desatendida"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/>
 </a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Threats_to_Server_Security-Inattentive_Administration.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="1.3.3.2. Servicios no parchados"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Threats_to_Server_Security-Unpatched_Services">1.3.3.2. Servicios no parchados</h4></div></div></div><div class="para">
				La mayorÃa de las aplicaciones de servidor que se incluyen en una instalaciÃ³n por defecto son piezas de software sÃ³lidas y completamente comprobadas. Habiendo sido utilizadas en entornos de producciÃ³n durante muchos aÃ±os, el cÃ³digo de ellas ha sido totalmente refinado y muchos de sus errores han sido encontrados y corregidos.
			</div><div class="para">
				Sin embargo, no existe algo asÃ como el software perfecto y existe siempre un margen para futuras mejoras. Es mÃ¡s, por lo general el software mÃ¡s reciente no ha sido probado con el rigor que uno podrÃa esperar, debido a su reciente apariciÃ³n en los entornos de producciÃ³n, o debido a que no es tan popular como otros.
			</div><div class="para">
				Los desarrolladores y los administradores de sistemas encuentran a menudo, en algunas aplicaciones de servidor, errores que podrÃan ser aprovechados para vulnerar el sistema, y publican la informaciÃ³n de tal error en un sitio web relacionado con el tema, como ser por ejemplo, la lista de correo Bugtraq (<a href="http://www.securityfocus.com">http://www.securityfocus.com</a>) o el Equipo de Respuesta de Emergencias de ComputaciÃ³n (CERT, por las iniciales en inglÃ©s de Computer Emergency Response Team), cuyo sitio web es (<a href="http://www.cert.org">http://www.cert.org</a>). Si bien estos mecanismos son una forma efectiva de advertir a la comunidad acerca de problemas en la seguridad, queda en manos de los administradores del sistema enmendar sus sistemas. Esto es realmente verdadero ya que los atacantes tienen acceso a estos mismos sitios y podrÃ¡n utilizar la informaciÃ³n para vulnerar sistemas que aÃºn no han sido enmendados. Ser un buen administrador de sistemas im
 plica ser vigilante, estar atento permanentemente a los errores y a sus soluciones, y ser capaz de realizar una manutenciÃ³n adecuada del sistema para asegurar un entorno de computaciÃ³n seguro.
			</div><div class="para">
				Vaya a la <a class="xref" href="sect-Security_Guide-Security_Updates.html" title="1.5. Actualizaciones de seguridad">SecciÃ³nÂ 1.5, â€œActualizaciones de seguridadâ€</a> para mÃ¡s informaciÃ³n sobre cÃ³mo mantener un sistema actualizado.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html"><strong>Anterior</strong>1.3.3. Amenazas a la seguridad del servidor</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Threats_to_Server_Security-Inattentive_Administration.html"><strong>Siguiente</strong>1.3.3.3. AdministraciÃ³n desatendida</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Threats_to_Workstation_and_Home_PC_Security-Vulnerable_Client_Applications.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.3.4.2. Aplicaciones de tipo cliente vulnerables</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security.html" title="1.3.4. Amenazas a las estaciones de trabajo y seguridad en equipos hogareÃ±os"/><link rel="prev" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security.html" title="1.3.4. Amenazas a las estaciones de trabajo y seguridad en equipos hogareÃ±os"/><link rel="next" href="sect-Security_Guide-Common_Exploits_and_Attacks.html" title="1.4. Ataques y debilidades comunes"/></head><body class="draft "><p id="title"><a class="left" href="http:/
 /www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Common_Exploits_and_Attacks.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="1.3.4.2. Aplicaciones de tipo cliente vulnerables"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Threats_to_Workstation_and_Home_PC_Security-Vulnerable_Client_Applications">1.3.4.2. Aplicaciones de tipo cliente vulnerables</h4></div></div></div><div class="para">
				Si bien un administrador puede tener un servidor completamente seguro y enmendado, esto no significa que los usuarios remotos se encuentren a salvo en el momento de acceder a Ã©l. Por ejemplo, si el servidor ofrece servicios Telnet o FTP sobre una red pÃºblica, un atacante puede capturar los nombres de usuario y contraseÃ±as que son enviados a travÃ©s de la red con un formato de texto simple, y luego utilizar la informaciÃ³n de la cuenta para poder ingresar en la estaciÃ³n de trabajo del usuario remoto.
			</div><div class="para">
				AÃºn cuando se utilicen protocolos seguros, como SSH, un usuario remoto puede ser vulnerable a ciertos ataques si no mantiene actualizadas sus aplicaciones de cliente. Por ejemplo, los clientes de SSH v.1 son vulnerables a un ataque de reenvÃo de X que provenga de servidores maliciosos. Una vez conectado al servidor, el atacante puede capturar silenciosamente cualquier presiÃ³n de teclas o pulsaciÃ³n del ratÃ³n que el cliente haya hecho sobre la red. Este problema fue solucionado con el protocolo SSH v.2, pero queda en manos del usuario conocer quÃ© aplicaciones tienen puntos dÃ©biles, y actualizarlas cuando sea necesario.
			</div><div class="para">
				<a class="xref" href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security" title="2.1. Seguridad de la estaciÃ³n de trabajo">SecciÃ³nÂ 2.1, â€œSeguridad de la estaciÃ³n de trabajoâ€</a> discute mÃ¡s en detalle los pasos que los administradores y usuarios hogareÃ±os deben tomar para limitar la vulnerabilidad de las computadoras estaciones de trabajo.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security.html"><strong>Anterior</strong>1.3.4. Amenazas a las estaciones de trabajo y seg...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Common_Exploits_and_Attacks.html"><strong>Siguiente</strong>1.4. Ataques y debilidades comunes</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Updating_Packages-Applying_the_Changes.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.5.4. AplicaciÃ³n de los cambios</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Security_Updates.html" title="1.5. Actualizaciones de seguridad"/><link rel="prev" href="sect-Security_Guide-Updating_Packages-Installing_Signed_Packages.html" title="1.5.3. InstalaciÃ³n de paquetes firmados"/><link rel="next" href="chap-Security_Guide-Securing_Your_Network.html" title="CapÃtulo 2. Asegurando su Red"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right
 .png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Updating_Packages-Installing_Signed_Packages.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-Securing_Your_Network.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="1.5.4. AplicaciÃ³n de los cambios"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Updating_Packages-Applying_the_Changes">1.5.4. AplicaciÃ³n de los cambios</h3></div></div></div><div class="para">
			DespuÃ©s de descargar e instalar las erratas de seguridad y actualizaciones, es importante dejar de usar el software viejo y comenzar a usar el nuevo. CÃ³mo se hace esto depende del tipo de software que se haya actualizado. La siguiente lista muestran los items de la categorÃa general de software y provee instrucciones para usar las versiones actualizadas despuÃ©s de cada actualizaciÃ³n de paquetes.
		</div><div class="note"><h2>Nota</h2><div class="para">
				En general, reiniciar el sistema es la mejor forma de asegurarse que la Ãºltima versiÃ³n de un paquete de software estÃ© en uso; sin embargo, esta opciÃ³n no es siempre necesaria, o estÃ¡ disponible sÃ³lo para el administrador del sistema.
			</div></div><div class="variablelist"><dl><dt><span class="term">Aplicaciones</span></dt><dd><div class="para">
						Las aplicaciones del espacio del usuario son todos los programas que se pueden usar por el usuario comÃºn. TÃpicamente, tales aplicaciones se usan solamente cuando un usuario, programa o tarea automatizada los inicia, y no estÃ¡n activas por perÃodos largos de tiempo.
					</div><div class="para">
						Una vez que la aplicaciÃ³n del espacio del usuario es actualizado, detenga cualquier instancia de la aplicaciÃ³n en el sistema y lance el programa de nuevo para usar la versiÃ³n actualizada.
					</div></dd><dt><span class="term">Kernel</span></dt><dd><div class="para">
						El kernel es el componente de software principal del sistema operativo Fedora. Maneja el acceso a la memoria, al procesador y a los perifÃ©ricos, asÃ como la planificaciÃ³n de todas las tareas.
					</div><div class="para">
						Dado a su rol central, el kernel no se puede reiniciar sin detener la computadora. Por lo tanto, una versiÃ³n actualizada del kernel no se puede usar hasta que la computadora no sea reiniciada.
					</div></dd><dt><span class="term">Bibliotecas compartidas</span></dt><dd><div class="para">
						Las bibliotecas compartidas son unidades de cÃ³digos, como <code class="filename">glibc</code>, que se usan por un nÃºmero de aplicaciones y servicios. Las aplicaciones que usan una biblioteca compartida normalmente cargan el cÃ³digo compartido cuando la aplicaciÃ³n se inicia, por lo que todas las aplicaciones que usen la versiÃ³n actualizada de la biblioteca se deben detener y reiniciar.
					</div><div class="para">
						Para determinar quÃ© aplicaciones en ejecuciÃ³n usan una biblioteca particular, use el comando <code class="command">lsof</code> como en el siguiente ejemplo:
					</div><pre class="screen"><code class="command">lsof /lib/libwrap.so*</code>
</pre><div class="para">
						Este comando devuelve una lista con todos los programas en ejecuciÃ³n que utilizan encapsuladores TCP para control de acceso del equipo. Por lo tanto, cualquier programa listado debe ser detenido y reiniciado si el paquete <code class="filename">tcp_wrappers</code> es actualizado.
					</div></dd><dt><span class="term">Servicios SysV</span></dt><dd><div class="para">
						Los servicios SysV son programas de servidor persistentes lanzados en algÃºn momento del proceso de inicializaciÃ³n del equipo. Algunos ejemplos de servicios SysV son <code class="command">sshd</code>, <code class="command">vsftpd</code>, y <code class="command">xinetd</code>.
					</div><div class="para">
						Debido a que estos programas generalmente continÃºan en la memoria todo el tiempo en que el sistema se estÃ© ejecutando, cada servicio SysV actualizado debe ser detenido luego que el paquete haya sido renovado. Esto puede hacerse utilizando la <span class="application"><strong>Herramienta de configuraciÃ³n de servicios</strong></span>, o logueandose como usuario root en una consola y ejecutando el comando <code class="command">/sbin/service</code> como en el ejemplo siguiente:
					</div><pre class="screen"><code class="command">/sbin/service <em class="replaceable"><code><nombre-servicio></code></em> restart</code>
</pre><div class="para">
						En el ejemplo anterior, reemplace <em class="replaceable"><code><service-name></code></em> con el nombre del servicio, como ser por ejemplo, <code class="command">sshd</code>.
					</div></dd><dt><span class="term">Servicios <code class="command">xinetd</code></span></dt><dd><div class="para">
						Los servicios controlados por el sÃºper servicio <code class="command">xinetd</code> solo se ejecutan cuando exista una conexiÃ³n activa. Ejemplos de servicios controlados por <code class="command">xinetd</code> osn Telnet, IMAP, y POP3.
					</div><div class="para">
						Debido a que <code class="command">xinetd</code> inicia nuevas instancias de estos servicios cada vez que se reciba un nuevo pedido, las conexiones que tengan lugar luego de una actualizaciÃ³n serÃ¡n administradas por el software actualizado. Sin embargo, si existen conexiones activas en el momento en que el servicio controlado por <code class="command">xinetd</code> es actualizado, estas conexiones seguirÃ¡n funcionando controladas por la versiÃ³n anterior.
					</div><div class="para">
						Para detener instancias antiguas de un servicio particular controlado por <code class="command">xinetd</code>, actualice el paquete para el servicio, y luego detenga todos los procesos que se encuentren en ejecuciÃ³n. Para determinar si el proceso estÃ¡ ejecutÃ¡ndose, utilice el comando <code class="command">ps</code> y luego los comandos <code class="command">kill</code> o <code class="command">killall</code> para detener las instancias actuales del servicio.
					</div><div class="para">
						Por ejemplo, si los paquetes errata de seguridad <code class="filename">imap</code> son liberados, actualice los paquetes, y luego, como usuario root, ingrese el siguiente comando en una terminal:
					</div><pre class="screen"><code class="command">ps -aux | grep imap</code>
</pre><div class="para">
						Este comando devuelve todas las sesiones IMAP activas. Las sesiones individuales pueden determinarse con el siguiente comando:
					</div><pre class="screen"><code class="command">kill <em class="replaceable"><code><PID></code></em></code>
</pre><div class="para">
						Si esto falla a terminar la sesiÃ³n, use el siguiente comando en su lugar:
					</div><pre class="screen"><code class="command">kill -9 <em class="replaceable"><code><PID></code></em></code>
</pre><div class="para">
						En los ejemplos anteriores, para una sesiÃ³n IMAP reemplace <em class="replaceable"><code><PID></code></em> con el nÃºmero de identificaciÃ³n del proceso (que puede encontrarlo en la segunda columna del comando <code class="command">ps</code>).
					</div><div class="para">
						Para detener todas las sesiones IMAP activas, ingrese el siguiente comando:
					</div><pre class="screen"><code class="command">killall imapd</code>
</pre></dd></dl></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Updating_Packages-Installing_Signed_Packages.html"><strong>Anterior</strong>1.5.3. InstalaciÃ³n de paquetes firmados</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-Securing_Your_Network.html"><strong>Siguiente</strong>CapÃtulo 2. Asegurando su Red</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Updating_Packages-Installing_Signed_Packages.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.5.3. InstalaciÃ³n de paquetes firmados</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Security_Updates.html" title="1.5. Actualizaciones de seguridad"/><link rel="prev" href="sect-Security_Guide-Updating_Packages-Verifying_Signed_Packages.html" title="1.5.2. VerificaciÃ³n de paquetes firmados"/><link rel="next" href="sect-Security_Guide-Updating_Packages-Applying_the_Changes.html" title="1.5.4. AplicaciÃ³n de los cambios"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common
 _Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Updating_Packages-Verifying_Signed_Packages.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Updating_Packages-Applying_the_Changes.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="1.5.3. InstalaciÃ³n de paquetes firmados"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Updating_Packages-Installing_Signed_Packages">1.5.3. InstalaciÃ³n de paquetes firmados</h3></div></div></div><div class="para">
			La instalaciÃ³n de la mayorÃa de los paquetes se puede hacer en forma segura (excepto para los paquetes del kernel) emitiendo el siguiente comando:
		</div><pre class="screen"><code class="command">rpm -Uvh /tmp/updates/*.rpm</code>
</pre><div class="para">
			Para paquetes del kernel, use el siguiente comando:
		</div><pre class="screen"><code class="command">rpm -ivh /tmp/updates/<em class="replaceable"><code><paquete-de-kernel></code></em></code>
</pre><div class="para">
			Reemplace <em class="replaceable"><code><paquete-del-kernel></code></em> en el ejemplo previo con el nombre del RPM del kernel.
		</div><div class="para">
			Una vez que la mÃ¡quina ha sido iniciada sin problema usando el nuevo kernel, el kernel viejo se puede eliminar usando el siguiente comando:
		</div><pre class="screen"><code class="command">rpm -e <em class="replaceable"><code><paquete-del-kernel-viejo></code></em></code>
</pre><div class="para">
			Reemplace el <em class="replaceable"><code><paquete-del-kernel-viejo></code></em> en el ejemplo previo con el nombre del RPM del kernel viejo.
		</div><div class="note"><h2>Nota</h2><div class="para">
				No es necesario que el Ãºltimo kernel sea eliminado. El cargador de arranque por defecto, GRUB, permite tener varios kernels instalados, luego elija uno desde el menÃº de arranque al iniciar.
			</div></div><div class="important"><h2>Importante</h2><div class="para">
				Antes de instalar cualquier errata de seguridad, asegÃºrese de leer las instrucciones especiales contenidas en el informe de errata y ejecÃºtelas apropiadamente. Vaya a la <a class="xref" href="sect-Security_Guide-Updating_Packages-Applying_the_Changes.html" title="1.5.4. AplicaciÃ³n de los cambios">SecciÃ³nÂ 1.5.4, â€œAplicaciÃ³n de los cambiosâ€</a> para instrucciones generales sobre la aplicaciÃ³n de cambios hechos por una actualizaciÃ³n de errata.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Updating_Packages-Verifying_Signed_Packages.html"><strong>Anterior</strong>1.5.2. VerificaciÃ³n de paquetes firmados</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Updating_Packages-Applying_the_Changes.html"><strong>Siguiente</strong>1.5.4. AplicaciÃ³n de los cambios</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Updating_Packages-Verifying_Signed_Packages.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.5.2. VerificaciÃ³n de paquetes firmados</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Security_Updates.html" title="1.5. Actualizaciones de seguridad"/><link rel="prev" href="sect-Security_Guide-Security_Updates.html" title="1.5. Actualizaciones de seguridad"/><link rel="next" href="sect-Security_Guide-Updating_Packages-Installing_Signed_Packages.html" title="1.5.3. InstalaciÃ³n de paquetes firmados"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image
 _right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Security_Updates.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Updating_Packages-Installing_Signed_Packages.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="1.5.2. VerificaciÃ³n de paquetes firmados"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Updating_Packages-Verifying_Signed_Packages">1.5.2. VerificaciÃ³n de paquetes firmados</h3></div></div></div><div class="para">
			Todos los paquetes de Fedora estÃ¡n firmados con la clave <em class="firstterm">GPG</em> de Fedora. GPG viene de GNU Privacy Guard (guardia de la privacidad de GNU), o GnuPG, un paquete de software libre que se usa para asegurar la autenticidad de archivos a distribuir. Por ejemplo, una clave privada (clave secreta) bloquea el paquete mientras que la clave pÃºblica desbloquea y verifica el paquete. Si la clave pÃºblica distribuida por Fedora no coincide con la clave privada durante la verificaciÃ³n del RPM, el paquete puede haber sido alterado y por lo tanto no es confiable.
		</div><div class="para">
			La utilidad RPM de Fedora intenta verificar automÃ¡ticamente la firma GPG de un paquete RPM antes de instalarlo. Si la clave GPG no estÃ¡ instalada, se debe instalar desde una ubicaciÃ³n estÃ¡tica y segura, como el CD-ROM o DVD de instalaciÃ³n de Fedora.
		</div><div class="para">
			Asumiendo que el disco estÃ¡ montado en <code class="filename">/mnt/cdrom</code>, use el siguiente comando para importarla dentro del <em class="firstterm">administrador de claves</em> (keyring, una base de datos de claves confiables en el sistema):
		</div><pre class="screen"><code class="command">rpm --import /mnt/cdrom/RPM-GPG-KEY</code>
</pre><div class="para">
			Para mostrar una lista de todas las claves instaladas para la verificaciÃ³n de RPM, ejecute el siguiente comando:
		</div><pre class="screen"><code class="command">rpm -qa gpg-pubkey*</code>
</pre><div class="para">
			La salida serÃ¡ similar a la siguiente:
		</div><pre class="screen"><code class="computeroutput">gpg-pubkey-db42a60e-37ea5438</code>
</pre><div class="para">
			Para mostrar los detalles de alguna clave en particular, use el comando <code class="command">rpm -qi</code> seguido de la salida del comando previo, como en este ejemplo:
		</div><pre class="screen"><code class="command">rpm -qi gpg-pubkey-db42a60e-37ea5438</code>
</pre><div class="para">
			Es extremadamente importante verificar la firma de los archivos RPM antes de instalarlos para asegurar que no hayan sido alterados desde la fuente original de los paquetes. Para verificar todos los paquetes descargados de una vez, emita el siguiente comando:
		</div><pre class="screen"><code class="command">rpm -K /tmp/updates/*.rpm</code>
</pre><div class="para">
			Para cada paquete, si la clave GPG se verifica exitosamente, el comando devuelve <code class="computeroutput">gpg OK</code>. Sino, asegÃºrese que estÃ¡ usando la clave pÃºblica de Fedora correcta, asÃ como la fuente del contenido. Los paquetes que no pasan las verificaciones GPG no se deben instalar, porque pueden haber sido alterados por alguien.
		</div><div class="para">
			DespuÃ©s de verificar la clave GPG y de descargar todos los paquetes asociados con el informe de errata, instale los paquetes como root en el indicador de la terminal.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Security_Updates.html"><strong>Anterior</strong>1.5. Actualizaciones de seguridad</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Updating_Packages-Installing_Signed_Packages.html"><strong>Siguiente</strong>1.5.3. InstalaciÃ³n de paquetes firmados</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Using_IPTables-Basic_Firewall_Policies.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.3.2. PolÃticas bÃ¡sicas del cortafuego</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Firewalls-Using_IPTables.html" title="2.8.3. Uso de IPTables"/><link rel="prev" href="sect-Security_Guide-Firewalls-Using_IPTables.html" title="2.8.3. Uso de IPTables"/><link rel="next" href="sect-Security_Guide-Using_IPTables-Saving_and_Restoring_IPTables_Rules.html" title="2.8.3.3. Guardando y restaurando las reglas de IPTables"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Con
 tent/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-Using_IPTables.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Using_IPTables-Saving_and_Restoring_IPTables_Rules.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.8.3.2. PolÃticas bÃ¡sicas del cortafuego"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Using_IPTables-Basic_Firewall_Policies">2.8.3.2. PolÃticas bÃ¡sicas del cortafuego</h4></div></div></div><div class="para">
				El establecimiento de polÃticas bÃ¡sicas de cortafuego crea la base para construir reglas mÃ¡s detalladas definidas por el usuario.
			</div><div class="para">
				Cada cadena de <code class="command">iptables</code> se compone de una polÃtica predeterminada, y cero o mÃ¡s reglas que funcionan en conjunto con la polÃtica predeterminada para definir el conjunto de reglas del cortafuego.
			</div><div class="para">
				La polÃtica establecida por defecto para una cadena puede ser DROP o ACCEPT. Los administradores de sistemas orientados por la seguridad implementan una polÃtica por defecto de DROP, y solo permiten unos pocos paquetes especÃficos, luego de ser analizados uno por uno. Por ejemplo, las siguientes polÃticas bloquean todos los paquetes que lleguen a o que partan desde una puerta de enlace:
			</div><pre class="screen">[root at miServidor ~ ] # iptables -P INPUT DROP
[root at miServidor ~ ] # iptables -P OUTPUT DROP
</pre><div class="para">
				Es tambiÃ©n algo recomendado que a cualquier <em class="firstterm">paquete reenviado</em> â€” trÃ¡fico de red que es enrutado desde el cortafuegos hacia su nodo de destino â€” tambiÃ©n le sea negada la entrada, para poder asÃ restringir las posibles exposiciones inadvertidas de clientes internos a Internet. Para hacerlo, utilice la siguiente regla:
			</div><pre class="screen">[root at miServidor ~ ] # iptables -P FORWARD DROP
</pre><div class="para">
				Cuando haya establecido las polÃticas por defecto para cada cadena, puede crear y guardar las reglas siguientes para su red y requerimientos de seguridad particulares.
			</div><div class="para">
				Las siguientes secciones describen cÃ³mo guardar las reglas iptables y delinea algunas de las reglas que puede implementar cuando construya su cortafuego con iptables.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-Using_IPTables.html"><strong>Anterior</strong>2.8.3. Uso de IPTables</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Using_IPTables-Saving_and_Restoring_IPTables_Rules.html"><strong>Siguiente</strong>2.8.3.3. Guardando y restaurando las reglas de IP...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Using_IPTables-Saving_and_Restoring_IPTables_Rules.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.3.3. Guardando y restaurando las reglas de IPTables</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Firewalls-Using_IPTables.html" title="2.8.3. Uso de IPTables"/><link rel="prev" href="sect-Security_Guide-Using_IPTables-Basic_Firewall_Policies.html" title="2.8.3.2. PolÃticas bÃ¡sicas del cortafuego"/><link rel="next" href="sect-Security_Guide-Firewalls-Common_IPTables_Filtering.html" title="2.8.4. Filtrado comÃºn de IPTables"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src=
 "Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Using_IPTables-Basic_Firewall_Policies.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-Common_IPTables_Filtering.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.8.3.3. Guardando y restaurando las reglas de IPTables"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Using_IPTables-Saving_and_Restoring_IPTables_Rules">2.8.3.3. Guardando y restaurando las reglas de IPTables</h4></div></div></div><div class="para">
				Los cambios en <code class="command">iptables</code> son transitorios; si el sistema es reiniciado o si el servicio de <code class="command">iptables</code> es reiniciado, las reglas son automÃ¡ticamente eliminadas y reiniciadas. Para guardar las reglas de modo que sean cargadas cuando el servicio <code class="command">iptables</code> sea iniciado, utilice el siguiente comando:
			</div><pre class="screen">[root at miServidor ~ ] # service iptables save
</pre><div class="para">
				Las reglas se guardan en el archivo <code class="filename">/etc/sysconfig/iptables</code> y se aplican cada vez que el servicio o la computadora se reinician.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Using_IPTables-Basic_Firewall_Policies.html"><strong>Anterior</strong>2.8.3.2. PolÃticas bÃ¡sicas del cortafuego</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-Common_IPTables_Filtering.html"><strong>Siguiente</strong>2.8.4. Filtrado comÃºn de IPTables</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Virtual_Private_Networks_VPNs-Creating_an_IPsec_Connection.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.7.4. Creando una conexiÃ³n IPsec</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html" title="2.7. Redes privadas virtuales (VPNs, por las iniciales en inglÃ©s de Virtual Private Networks)"/><link rel="prev" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec.html" title="2.7.3. IPsec"/><link rel="next" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Installation.html" title="2.7.5. InstalaciÃ³n de IPsec"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs
 .fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Installation.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.7.4. Creando una conexiÃ³n IPsec"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Virtual_Private_Networks_VPNs-Creating_an_IPsec_Connection">2.7.4. Creando una conexiÃ³n <abbr class="abbrev">IPsec</abbr></h3></div></div></div><div class="para">
			Una conexiÃ³n <abbr class="abbrev">IPsec</abbr> estÃ¡ separada en dos etapas lÃ³gicas. En la primera etapa, un nodo <abbr class="abbrev">IPsec</abbr> inicia la conexiÃ³n con el nodo remoto o la red. El nodo remoto o la red verifica las credenciales del nodo que hace la peticiÃ³n y ambas partes establecen un mÃ©todo de autenticaciÃ³n para la conexiÃ³n.
		</div><div class="para">
			En sistemas Fedora, una conexiÃ³n <abbr class="abbrev">IPsec</abbr> utiliza un mÃ©todo de <em class="firstterm">clave pre-compartida</em> para la autenticaciÃ³n del nodo <abbr class="abbrev">IPsec</abbr>. En una conexiÃ³n <abbr class="abbrev">IPsec</abbr> de este tipo, ambos equipos deben utilizar la misma clave para poder avanzar hacia la segunda etapa de la conexiÃ³n <abbr class="abbrev">IPsec</abbr>.
		</div><div class="para">
			La segunda etapa de la conexiÃ³n <abbr class="abbrev">IPsec</abbr> consiste en la creaciÃ³n de una <em class="firstterm">AsociaciÃ³n de seguridad</em> (<acronym class="acronym">SA</acronym>, por las iniciales en inglÃ©s de Security Association) entre los nodos <abbr class="abbrev">IPsec</abbr>. Esta etapa genera una base de datos <abbr class="abbrev">SA</abbr> con informaciÃ³n de configuraciÃ³n, como el mÃ©todo de encriptado, los parÃ¡metros de intercambio de clave para la sesiÃ³n secreta, y demÃ¡s informaciones necesarias. Esta etapa administra la conexiÃ³n <abbr class="abbrev">IPsec</abbr> actual entre los nodos remotos y las redes.
		</div><div class="para">
			La implementaciÃ³n de <abbr class="abbrev">IPsec</abbr> en Fedora utiliza IKE para compartir claves entre equipos a travÃ©s de Internet. El demonio para claves <code class="command">racoon</code> administra la distribuciÃ³n y el intercambio de clave IKE. Para obtener mayor informaciÃ³n acerca de este demonio, vea la pÃ¡gina man de <code class="command">racoon</code>.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec.html"><strong>Anterior</strong>2.7.3. IPsec</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Installation.html"><strong>Siguiente</strong>2.7.5. InstalaciÃ³n de IPsec</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.7.3. IPsec</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html" title="2.7. Redes privadas virtuales (VPNs, por las iniciales en inglÃ©s de Virtual Private Networks)"/><link rel="prev" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-VPNs_and_PROD.html" title="2.7.2. VPNs y Fedora"/><link rel="next" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Creating_an_IPsec_Connection.html" title="2.7.4. Creando una conexiÃ³n IPsec"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="h
 ttp://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-VPNs_and_PROD.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Creating_an_IPsec_Connection.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.7.3. IPsec"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec">2.7.3. IPsec</h3></div></div></div><div class="para">
			Fedora ofrece soporte de <abbr class="abbrev">IPsec</abbr> para conectar equipos remotos y redes entre sÃ, utilizando un tÃºnel seguro en un medio de transporte de red comÃºn, como lo es Internet. <abbr class="abbrev">IPsec</abbr> puede ser implementado utilizando una configuraciÃ³n de tipo equipo-a-equipo (una estaciÃ³n de trabajo con otra), o de tipo red-a-red (una <acronym class="acronym">LAN</acronym>/<acronym class="acronym">WAN</acronym> con otra).
		</div><div class="para">
			La utilizaciÃ³n de <abbr class="abbrev">IPsec</abbr> en Fedora utiliza <em class="firstterm">Intercambio de Clave de Internet</em> (<em class="firstterm">IKE</em>, por las iniciales en inglÃ©s de Internet Key Exchange), un protocolo implementado por el Equipo de Tareas de IngenierÃa de Internet (<acronym class="acronym">IETF</acronym>, por las iniciales en inglÃ©s de Internet Engineering Task Force), utilizado para autenticaciÃ³n mutua y asociaciones seguras entre sistemas conectados.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-VPNs_and_PROD.html"><strong>Anterior</strong>2.7.2. VPNs y Fedora</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Creating_an_IPsec_Connection.html"><strong>Siguiente</strong>2.7.4. Creando una conexiÃ³n IPsec</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.7.6. ConfiguraciÃ³n de IPsec equipo-a-equipo</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html" title="2.7. Redes privadas virtuales (VPNs, por las iniciales en inglÃ©s de Virtual Private Networks)"/><link rel="prev" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Installation.html" title="2.7.5. InstalaciÃ³n de IPsec"/><link rel="next" href="sect-Security_Guide-IPsec_Host_to_Host_Configuration-Manual_IPsec_Host_to_Host_Configuration.html" title="2.7.6.2. ConfiguraciÃ³n manual de una conexiÃ³n IPsec de tipo equipo-a-equipo"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproje
 ct.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Installation.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPsec_Host_to_Host_Configuration-Manual_IPsec_Host_to_Host_Configuration.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.7.6. ConfiguraciÃ³n de IPsec equipo-a-equipo"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration">2.7.6. ConfiguraciÃ³n de IPsec equipo-a-equipo</h3></div></div></div><div class="para">
			IPsec puede configurarse para conectar un equipo de escritorio o estaciÃ³n de trabajo con otro mediante una conexiÃ³n de tipo equipo-a-equipo. Este tipo de conexiÃ³n utiliza la red a la que cada uno de los equipos se conecta para crear un tÃºnel seguro entre cada equipo. Los requerimientos de una conexiÃ³n de equipo-a-equipo son mÃnimos, al igual que la configuraciÃ³n de <abbr class="abbrev">IPsec</abbr>. El equipo necesita solo una conexiÃ³n dedicada a una red que haga de medio de transporte (como lo es Internet) y Fedora para crear la conexiÃ³n <abbr class="abbrev">IPsec</abbr>.
		</div><div class="section" title="2.7.6.1. ConexiÃ³n equipo-a-equipo"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-IPsec_Host_to_Host_Configuration-Host_to_Host_Connection">2.7.6.1. ConexiÃ³n equipo-a-equipo</h4></div></div></div><div class="para">
				Una conexiÃ³n de tipo equipo-a-equipo es una conexiÃ³n encriptada entre dos sistemas, ambos utilizando <abbr class="abbrev">IPsec</abbr> con la misma clave de autenticaciÃ³n. Con la conexiÃ³n <abbr class="abbrev">IPsec</abbr> activa, cualquier trÃ¡fico de red entre los dos equipos es encriptada.
			</div><div class="para">
				Para configurar una conexiÃ³n <abbr class="abbrev">IPsec</abbr> de tipo equipo-a-equipo, siga los siguientes pasos para cada equipo:
			</div><div class="note"><h2>Nota</h2><div class="para">
					DeberÃa realizar los siguientes procedimientos en la mÃ¡quina actual que estÃ¡ configurando. Evite intentar establecer o configurar conexiones <abbr class="abbrev">IPsec</abbr> remotamente.
				</div></div><div class="orderedlist"><ol><li class="listitem"><div class="para">
						En una terminal, ingrese <code class="command">system-config-network</code> para iniciar la <span class="application"><strong>Herramienta de administraciÃ³n de red</strong></span>.
					</div></li><li class="listitem"><div class="para">
						En la pestaÃ±a de <span class="guilabel"><strong>IPsec</strong></span>, haga clic en <span class="guibutton"><strong>Nuevo</strong></span> para iniciar el asistente de configuraciÃ³n de <abbr class="abbrev">IPsec</abbr>.
					</div></li><li class="listitem"><div class="para">
						haga clic en <span class="guibutton"><strong>Siguiente</strong></span> para iniciar la configuraciÃ³n de una conexiÃ³n <abbr class="abbrev">IPsec</abbr> de equipo-a-equipo.
					</div></li><li class="listitem"><div class="para">
						Ingrese un nombre Ãºnico para la conexiÃ³n, por ejemplo, <strong class="userinput"><code>ipsec0</code></strong>. Si lo necesita, tilde la casilla para activar automÃ¡ticamente la conexiÃ³n cada vez que encienda el equipo. Haga clic en <span class="guibutton"><strong>Siguiente</strong></span> para continuar.
					</div></li><li class="listitem"><div class="para">
						Seleccione <span class="guilabel"><strong>Encriptado de equipo a equipo</strong></span> como el tipo de conexiÃ³n, y luego haga clic en <span class="guibutton"><strong>Siguiente</strong></span>.
					</div></li><li class="listitem"><div class="para">
						Seleccione el tipo de mÃ©todo de encriptado a utilizarse: manual o automÃ¡tico.
					</div><div class="para">
						Si selecciona encriptado manual, deberÃ¡ indicar mÃ¡s adelante una clave de encriptado. Si selecciona encriptado automÃ¡tico, el demonio <code class="command">racoon</code> se encarga de administrar la clave del encriptado. El paquete <code class="filename">ipsec-tools</code> debe estar instalado si quiere utilizar la encriptaciÃ³n automÃ¡tica.
					</div><div class="para">
						Haga clic en <span class="guibutton"><strong>Siguiente</strong></span> para continuar.
					</div></li><li class="listitem"><div class="para">
						Ingrese la direcciÃ³n IP de equipo remoto.
					</div><div class="para">
						Para determinar la direcciÃ³n IP del equipo remoto, utilice el siguiente comando <span class="emphasis"><em>en el equipo remoto</em></span>:
					</div><pre class="screen">[root at myServer ~] # /sbin/ifconfig <em class="replaceable"><code><device></code></em>
</pre><div class="para">
						donde <em class="replaceable"><code><device></code></em> es el dispositivo Ethernet que quiere utilizar para la conexiÃ³n <abbr class="abbrev">VPN</abbr>.
					</div><div class="para">
						Si solo existe una tarjeta Ethernet en el sistema, el nombre del dispositivo seguramente serÃ¡ eth0. El siguiente ejemplo muestra la informaciÃ³n pertinente de este comando (recuerde que ese es sÃ³lo un ejemplo):
					</div><pre class="screen">eth0      Link encap:Ethernet  HWaddr 00:0C:6E:E8:98:1D
          inet addr:172.16.44.192  Bcast:172.16.45.255  Mask:255.255.254.0
</pre><div class="para">
						La direcciÃ³n IP es el nÃºmero siguiente a la etiqueta <code class="computeroutput">inet addr:</code>.
					</div><div class="note"><h2>Nota</h2><div class="para">
							For host-to-host connections, both hosts should have a public, routable address. Alternatively, both hosts can have a private, non-routable address (for example, from the 10.x.x.x or 192.168.x.x ranges) as long as they are on the same LAN.
						</div><div class="para">
							Si los equipos se encuentran en diferentes LANs, o uno de ellos tiene una direcciÃ³n pÃºblica y el otro una direcciÃ³n privada, vea la <a class="xref" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html" title="2.7.7. ConfiguraciÃ³n IPsec red-a-red">SecciÃ³nÂ 2.7.7, â€œConfiguraciÃ³n IPsec red-a-redâ€</a>.
						</div></div><div class="para">
						Haga clic en <span class="guibutton"><strong>Siguiente</strong></span> para continuar.
					</div></li><li class="listitem"><div class="para">
						Si en el paso <a class="xref" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html#list-Security_Guide-list-Security_Guide-list-Security_Guide-st-host-encrypt-type">6</a> se ha seleccionado una encriptaciÃ³n manual, especifique la clave de encriptado a ser utilizada, o haga clic en <span class="guibutton"><strong>Generar</strong></span> para generar una.
					</div><div class="orderedlist"><ol><li class="listitem"><div class="para">
								Indique una clave de autenticaciÃ³n o haga clic en <span class="guibutton"><strong>Generar</strong></span> para generar una. Puede ser una combinaciÃ³n de nÃºmeros y letras.
							</div></li><li class="listitem"><div class="para">
								Haga clic en <span class="guibutton"><strong>Siguiente</strong></span> para continuar.
							</div></li></ol></div></li><li class="listitem"><div class="para">
						Verifique la informaciÃ³n en la pÃ¡gina <span class="guilabel"><strong>IPsec â€” Resumen</strong></span>, y luego haga clic en el botÃ³n <span class="guibutton"><strong>Aplicar</strong></span>.
					</div></li><li class="listitem"><div class="para">
						Haga clic en <span class="guimenu"><strong>Archivo</strong></span> => <span class="guimenuitem"><strong>Guardar</strong></span> para guardar la configuraciÃ³n.
					</div><div class="para">
						Tal vez necesite reiniciar la red para que los cambios tengan efecto. Para reiniciar la red, utilice el siguiente comando:
					</div><pre class="screen">[root at myServer ~]# service network restart
</pre></li><li class="listitem"><div class="para">
						Seleccione la conexiÃ³n <abbr class="abbrev">IPsec</abbr> de la lista y haga clic en el botÃ³n de <span class="guibutton"><strong>Activar</strong></span>.
					</div></li><li class="listitem"><div class="para">
						Repita el procedimiento entero para el otro equipo. Es fundamental que se utilice la misma clave del paso <a class="xref" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html#list-Security_Guide-list-Security_Guide-list-Security_Guide-st-host-to-host-keys">8</a> en los demÃ¡s equipos. De lo contrario, <abbr class="abbrev">IPsec</abbr> no funcionarÃ¡.
					</div></li></ol></div><div class="para">
				Luego de configurar la conexiÃ³n <abbr class="abbrev">IPsec</abbr>, aparecerÃ¡ en la lista <abbr class="abbrev">IPsec</abbr> como se lo indica en la <a class="xref" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html#figu-Security_Guide-Host_to_Host_Connection-IPsec_Connection" title="Figura 2.10. ConexiÃ³n IPsec">FiguraÂ 2.10, â€œConexiÃ³n IPsecâ€</a>.
			</div><div class="figure" id="figu-Security_Guide-Host_to_Host_Connection-IPsec_Connection"><div class="figure-contents"><div class="mediaobject"><img src="images/fed-ipsec_host2host.png" alt="ConexiÃ³n IPsec"/><div class="longdesc"><div class="para">
							ConexiÃ³n IPsec
						</div></div></div></div><h6>Figura 2.10. ConexiÃ³n IPsec</h6></div><br class="figure-break"/><div class="para">
				Los siguientes archivos son creados cuando la conexiÃ³n <abbr class="abbrev">IPsec</abbr> es configurada:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<code class="filename">/etc/sysconfig/network-scripts/ifcfg-<em class="replaceable"><code><nickname></code></em></code>
					</div></li><li class="listitem"><div class="para">
						<code class="filename">/etc/sysconfig/network-scripts/keys-<em class="replaceable"><code><nickname></code></em></code>
					</div></li><li class="listitem"><div class="para">
						<code class="filename">/etc/racoon/<em class="replaceable"><code><ip-remota></code></em>.conf</code>
					</div></li><li class="listitem"><div class="para">
						<code class="filename">/etc/racoon/psk.txt</code>
					</div></li></ul></div><div class="para">
				Si se elige encriptaciÃ³n automÃ¡tica, entonces tambiÃ©n se crea el archivo <code class="filename">/etc/racoon/racoon.conf</code>.
			</div><div class="para">
				Cuando la interfaz estÃ© funcionando, el archivo <code class="filename">/etc/racoon/racoon.conf</code> se modifica para que pueda inlcuir a <code class="filename"><em class="replaceable"><code><remote-ip></code></em>.conf</code>.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Installation.html"><strong>Anterior</strong>2.7.5. InstalaciÃ³n de IPsec</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPsec_Host_to_Host_Configuration-Manual_IPsec_Host_to_Host_Configuration.html"><strong>Siguiente</strong>2.7.6.2. ConfiguraciÃ³n manual de una conexiÃ³n IPs...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Installation.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.7.5. InstalaciÃ³n de IPsec</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html" title="2.7. Redes privadas virtuales (VPNs, por las iniciales en inglÃ©s de Virtual Private Networks)"/><link rel="prev" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Creating_an_IPsec_Connection.html" title="2.7.4. Creando una conexiÃ³n IPsec"/><link rel="next" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html" title="2.7.6. ConfiguraciÃ³n de IPsec equipo-a-equipo"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/ima
 ge_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Creating_an_IPsec_Connection.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.7.5. InstalaciÃ³n de IPsec"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Installation">2.7.5. InstalaciÃ³n de IPsec</h3></div></div></div><div class="para">
			La implementaciÃ³n de <abbr class="abbrev">IPsec</abbr> necesita tener instalado el paquete RPM <code class="filename">ipsec-tools</code> en todos los equipos <abbr class="abbrev">IPsec</abbr> (si es que se estÃ¡ utilizando una configuraciÃ³n de tipo equipo-a-equipo), o enrutadores (si es es que se estÃ¡ utilizando una configuraciÃ³n de tipo red-a-red). El paquete RPM contiene bibliotecas esenciales, demonios, y archivos de configuraciÃ³n para establecer la conexiÃ³n <abbr class="abbrev">IPsec</abbr>, como por ejemplo:
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					<code class="command">/sbin/setkey</code> â€” manipula la administraciÃ³n de clave y los atributos de seguridad para <abbr class="abbrev">IPsec</abbr> en el kernel. Este ejecutable es controlado por el demonio de administraciÃ³n de clave <code class="command">racoon</code>. Para obtener mayor informaciÃ³n, consulte la pÃ¡gina man nÃºmero 8 de <code class="command">setkey</code>.
				</div></li><li class="listitem"><div class="para">
					<code class="command">/usr/sbin/racoon</code> â€” el demonio de administraciÃ³n de clave IKE, utilizado para administrar y controlar las asociaciones de seguridad y el compartido de clave entre los sistemas conectados con IPsec.
				</div></li><li class="listitem"><div class="para">
					<code class="filename">/etc/racoon/racoon.conf</code> â€” el archivo de configuraciÃ³n del demonio <code class="command">racoon</code> utilizado para configurar varios aspectos de la conexiÃ³n <abbr class="abbrev">IPsec</abbr>, incluyendo los mÃ©todos de autenticaciÃ³n y los algoritmos de encriptado utilizados en ella. Para conocer una lista con todas las directivas, consulte la pÃ¡gina man nÃºmero 5 de <code class="filename">racoon.conf</code>.
				</div></li></ul></div><div class="para">
			Para configurar <abbr class="abbrev">IPsec</abbr> en Fedora, puede utilizar la <span class="application"><strong>Herramienta AdministraciÃ³n de Red</strong></span>, o editar manualmente la red y los archivos de configuraciÃ³n de <abbr class="abbrev">IPsec</abbr>.
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					Para conectar dos equipos en red utilizando IPsec, vea la <a class="xref" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html" title="2.7.6. ConfiguraciÃ³n de IPsec equipo-a-equipo">SecciÃ³nÂ 2.7.6, â€œConfiguraciÃ³n de IPsec equipo-a-equipoâ€</a>.
				</div></li><li class="listitem"><div class="para">
					Para conectar una <acronym class="acronym">LAN</acronym>/<acronym class="acronym">WAN</acronym> con otra utilizando IPsec, vea la <a class="xref" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html" title="2.7.7. ConfiguraciÃ³n IPsec red-a-red">SecciÃ³nÂ 2.7.7, â€œConfiguraciÃ³n IPsec red-a-redâ€</a>.
				</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Creating_an_IPsec_Connection.html"><strong>Anterior</strong>2.7.4. Creando una conexiÃ³n IPsec</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html"><strong>Siguiente</strong>2.7.6. ConfiguraciÃ³n de IPsec equipo-a-equipo</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.7.7. ConfiguraciÃ³n IPsec red-a-red</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html" title="2.7. Redes privadas virtuales (VPNs, por las iniciales en inglÃ©s de Virtual Private Networks)"/><link rel="prev" href="sect-Security_Guide-IPsec_Host_to_Host_Configuration-Manual_IPsec_Host_to_Host_Configuration.html" title="2.7.6.2. ConfiguraciÃ³n manual de una conexiÃ³n IPsec de tipo equipo-a-equipo"/><link rel="next" href="sect-Security_Guide-IPsec_Network_to_Network_Configuration-Manual_IPsec_Network_to_Network_Configuration.html" title="2.7.7.2. ConfiguraciÃ³n manual de una conexiÃ³n IPsec de tipo red-a-red."/></head><body cl
 ass="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPsec_Host_to_Host_Configuration-Manual_IPsec_Host_to_Host_Configuration.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPsec_Network_to_Network_Configuration-Manual_IPsec_Network_to_Network_Configuration.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.7.7. ConfiguraciÃ³n IPsec red-a-red"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration">2.7.7. ConfiguraciÃ³n IPsec red-a-red</h3></div></div></div><div class="para">
			IPsec tambiÃ©n puede ser configurado para conectar totalmente a una red (como por ejemplo una <acronym class="acronym">LAN</acronym> o <acronym class="acronym">WAN</acronym>) con otra red remota utilizando una conexiÃ³n de tipo red-a-red. Este tipo de conexiÃ³n requiere la configuraciÃ³n de enrutadores <abbr class="abbrev">IPsec</abbr> en cada lado de las redes que se quieren conectar para hacer el proceso transparente y enrutar informaciÃ³n de un nodo en una <acronym class="acronym">LAN</acronym>, hacia un nodo en una <acronym class="acronym">LAN</acronym> remota. <a class="xref" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html#figu-Security_Guide-IPsec_Network_to_Network_Configuration-A_network_to_network_IPsec_tunneled_connection" title="Figura 2.11. Una conexiÃ³n pot tÃºnel IPsec de tipo red-a-red">FiguraÂ 2.11, â€œUna conexiÃ³n pot tÃºnel <abbr class="abbrev">IPsec</abbr> de tipo red-a-redâ€</a> muestra un tÃºnel de 
 conexiÃ³n <abbr class="abbrev">IPsec</abbr> de tipo red-a-red.
		</div><div class="figure" id="figu-Security_Guide-IPsec_Network_to_Network_Configuration-A_network_to_network_IPsec_tunneled_connection"><div class="figure-contents"><div class="mediaobject"><img src="images/n-t-n-ipsec-diagram.png" alt="Una conexiÃ³n pot tÃºnel IPsec de tipo red-a-red"/><div class="longdesc"><div class="para">
						Una conexiÃ³n pot tÃºnel <abbr class="abbrev">IPsec</abbr> de tipo red-a-red
					</div></div></div></div><h6>Figura 2.11. Una conexiÃ³n pot tÃºnel <abbr class="abbrev">IPsec</abbr> de tipo red-a-red</h6></div><br class="figure-break"/><div class="para">
			El siguiente diagrama muestra dos <acronym class="acronym">LAN</acronym>s diferentes separadas por Internet. Estas <acronym class="acronym">LAN</acronym>s utilizan enrutadores <abbr class="abbrev">IPsec</abbr> para autenticar e iniciar una conexiÃ³n utilizando un tÃºnel seguro a travÃ©s de Internet. Los paquetes en trÃ¡nsito entre estas dos <acronym class="acronym">LAN</acronym>s que sean interceptados, necesitarÃan un mÃ©todo de decriptado de tipo fuerza bruta para poder atravesar la protecciÃ³n que poseen. El proceso de comunicaciÃ³n de un nodo en el rango IP 192.168.1.0/24, con otro del rango IP 192.168.1.0/24 es completamente transparente a los nodos, al igual que el proceso, encriptado, decriptado, y enrutado de los paquetes <abbr class="abbrev">IPsec</abbr>, es completamente manipulado por el enrutador <abbr class="abbrev">IPsec</abbr>.
		</div><div class="para">
			La informaciÃ³n necesaria para una conexiÃ³n de tipo red-a-red incluye:
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					La direcciÃ³n IP externamente accesible del enrutador dedicado <abbr class="abbrev">IPsec</abbr>
				</div></li><li class="listitem"><div class="para">
					Los rangos de direcciÃ³n de red de <acronym class="acronym">LAN</acronym>/<acronym class="acronym">WAN</acronym> ofrecidos por los enrutadores <abbr class="abbrev">IPsec</abbr> (como por ejemplo, 192.168.1.0/24 or 10.0.1.0/24)
				</div></li><li class="listitem"><div class="para">
					Las direcciones IP de los dispositivos de las puertas de enlace que enrutan los datos desde los nodos de red hacia Interne
				</div></li><li class="listitem"><div class="para">
					Un nombre Ãºnico, por ejemplo, <code class="computeroutput">ipsec1</code>. Esto es utilizado para identificar la conexiÃ³n <abbr class="abbrev">IPsec</abbr> y poder identificarla de otros dispositivos o conexiones.
				</div></li><li class="listitem"><div class="para">
					Una clave de encriptado generada manualmente, o automÃ¡ticamente mediante la utilizaciÃ³n de <code class="command">racoon</code>
				</div></li><li class="listitem"><div class="para">
					Una clave de autenticaciÃ³n pre-compartida que es utilizada a lo largo de la etapa inicial de la conexiÃ³n, y que tambiÃ©n serÃ¡ utilizada luego para intercambiar claves de encriptado durante de la sesiÃ³n.
				</div></li></ul></div><div class="section" title="2.7.7.1. ConexiÃ³n red-a-red (VPN)"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-IPsec_Network_to_Network_Configuration-Network_to_Network_VPN_Connection">2.7.7.1. ConexiÃ³n red-a-red (<abbr class="abbrev">VPN</abbr>)</h4></div></div></div><div class="para">
				Una conexiÃ³n <abbr class="abbrev">IPsec</abbr> de tipo red-a-red utiliza dos enrutadores <abbr class="abbrev">IPsec</abbr>, uno para cada red, a travÃ©s de los cuales es enrutado el trÃ¡fico de red para las subredes privadas.
			</div><div class="para">
				Por ejemplo, como se muestra en la <a class="xref" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html#figu-Security_Guide-Network_to_Network_VPN_Connection-Network_to_Network_IPsec" title="Figura 2.12. IPsec red-a-red">FiguraÂ 2.12, â€œIPsec red-a-redâ€</a>, si la red privada 192.168.1.0/24 envÃa trÃ¡fico hacia la red privada 192.168.2.0/24, los paquetes van a travÃ©s de la puerta-de-enlace-0, al ipsec0, a travÃ©s de internet, hacia ipsec1,a la puerta-de-enlace-1, y hacia la subred 192.168.2.0/24
			</div><div class="para">
				Los enrutadores <abbr class="abbrev">IPsec</abbr> necesitan direcciones IP pÃºblicas capaces de recibir paquetes, y un segundo dispositivo Ethernet conectado a sus respectivas redes privadas. El trÃ¡fico sÃ³lo viaja a travÃ©s de un enrutador <abbr class="abbrev">IPsec</abbr> si su destinatario es otro enrutador <abbr class="abbrev">IPsec</abbr> con el cual ha establecido una conexiÃ³n encriptada.
			</div><div class="figure" id="figu-Security_Guide-Network_to_Network_VPN_Connection-Network_to_Network_IPsec"><div class="figure-contents"><div class="mediaobject"><img src="images/n-t-n-ipsec-diagram.png" alt="IPsec red-a-red"/><div class="longdesc"><div class="para">
							IPsec red-a-red
						</div></div></div></div><h6>Figura 2.12. IPsec red-a-red</h6></div><br class="figure-break"/><div class="para">
				Opciones alternativas para la configuraciÃ³n de red pueden establecer un cortafuegos entre Internet y cada enrutador IP, y un cortafuegos de intranet entre el enrutador <abbr class="abbrev">IPsec</abbr> y la puerta de enlace de la subred. En enrutador <abbr class="abbrev">IPsec</abbr> y la puerta de enlace para la subred puede ser un sistema con dos dispositivos Ethernet: uno con una direcciÃ³n IP pÃºblica que actÃºa como un enrutador <abbr class="abbrev">IPsec</abbr>; y otro con una direcciÃ³n Ip privada que actÃºa como la puerta de enlace para la subred privada. Cada enrutador <abbr class="abbrev">IPsec</abbr> puede utilizar la puerta de enlace para sus redes privadas, o una puerta de enlace pÃºblica para enviar los paquetes al otro enrutador <abbr class="abbrev">IPsec</abbr>.
			</div><div class="para">
				Utilice el siguiente procedimiento para configurar una conexiÃ³n <abbr class="abbrev">IPsec</abbr> de tipo red-a-red:
			</div><div class="orderedlist"><ol><li class="listitem"><div class="para">
						En una terminal, ingrese <code class="command">system-config-network</code> para iniciar la <span class="application"><strong>Herramienta de administraciÃ³n de red</strong></span>.
					</div></li><li class="listitem"><div class="para">
						En la pestaÃ±a de <span class="guilabel"><strong>IPsec</strong></span>, haga clic en <span class="guibutton"><strong>Nuevo</strong></span> para iniciar el asistente de configuraciÃ³n de <abbr class="abbrev">IPsec</abbr>.
					</div></li><li class="listitem"><div class="para">
						Haga clic en <span class="guibutton"><strong>Siguiente</strong></span> para empezar a configurar una conexiÃ³n <abbr class="abbrev">IPsec</abbr> de tipp red-a-red.
					</div></li><li class="listitem"><div class="para">
						Ingrese un nombre de usuario Ãºnico para la conexiÃ³n, por ejemplo, <strong class="userinput"><code>ipsec0</code></strong>. Si lo necesita, tilde la casilla para que automÃ¡ticamente se active la conexiÃ³n cuando se inicie el equipo. Haga clic en <span class="guibutton"><strong>Siguiente</strong></span> para continuar.
					</div></li><li class="listitem"><div class="para">
						Seleccione <span class="guilabel"><strong>Encriptado de red a red (VPN)</strong></span> como el tipo de conexiÃ³n, y luego haga clic en <span class="guibutton"><strong>Siguiente</strong></span>.
					</div></li><li class="listitem"><div class="para">
						Seleccione el tipo de mÃ©todo de encriptado a utilizarse: manual o automÃ¡tico.
					</div><div class="para">
						Si selecciona encriptado manual, deberÃ¡ indicar mÃ¡s adelante una clave de encriptado. Si selecciona encriptado automÃ¡tico, el demonio <code class="command">racoon</code> se encarga de administrar la clave del encriptado. El paquete <code class="filename">ipsec-tools</code> debe estar instalado si quiere utilizar la encriptaciÃ³n automÃ¡tica.
					</div><div class="para">
						Haga clic en <span class="guibutton"><strong>Siguiente</strong></span> para continuar.
					</div></li><li class="listitem"><div class="para">
						En la pÃ¡gina <span class="guilabel"><strong>Red local</strong></span>, ingrese la siguiente informaciÃ³n:
					</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
								<span class="guilabel"><strong>Local Network Address</strong></span> â€” La direciÃ³n IP del dispositivo en el enrutador <abbr class="abbrev">IPsec</abbr> conectado a la red privada.
							</div></li><li class="listitem"><div class="para">
								<span class="guilabel"><strong>Local Subnet Mask</strong></span> â€” La mÃ¡scara de subred de la direcciÃ³n IP de la red local.
							</div></li><li class="listitem"><div class="para">
								<span class="guilabel"><strong>Local Network Gateway</strong></span> â€” La puerta de enlace para la subred privada.
							</div></li></ul></div><div class="para">
						Haga clic en <span class="guibutton"><strong>Siguiente</strong></span> para continuar.
					</div><div class="figure" id="figu-Security_Guide-Network_to_Network_VPN_Connection-Local_Network_Information"><div class="figure-contents"><div class="mediaobject"><img src="images/fed-ipsec_n_to_n_local.png" alt="InformaciÃ³n de Red Local"/><div class="longdesc"><div class="para">
									InformaciÃ³n de Red Local
								</div></div></div></div><h6>Figura 2.13. InformaciÃ³n de Red Local</h6></div><br class="figure-break"/></li><li class="listitem"><div class="para">
						En la pÃ¡gina de <span class="guilabel"><strong>Red remota</strong></span>, ingrese la siguiente informaciÃ³n:
					</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
								<span class="guilabel"><strong>Remote IP Address</strong></span> â€” La direcciÃ³n IP pÃºblica capaz de recibir trÃ¡fico del enrutador <abbr class="abbrev">IPsec</abbr> para la <span class="emphasis"><em>otra</em></span> red privada. En nuestro ejemplo, para ipsec0, ingrese la direcciÃ³n IP pÃºblica capaz de recibir trÃ¡fico de upsec1, y viceversa.
							</div></li><li class="listitem"><div class="para">
								<span class="guilabel"><strong>Remote Network Address</strong></span> â€” La direcciÃ³n de red de la subred privada detrÃ¡s del <span class="emphasis"><em>otro</em></span> enrutador <abbr class="abbrev">IPsec</abbr>. En nuestro ejemplo, ingrese <strong class="userinput"><code>192.168.1.0</code></strong> si estÃ¡ configurando ipsec1, e ingrese <strong class="userinput"><code>192.168.2.0</code></strong> si estÃ¡ configurando ipsec0.
							</div></li><li class="listitem"><div class="para">
								<span class="guilabel"><strong>Remote Subnet Mask</strong></span> â€” La mÃ¡scara de subred de la direcciÃ³n IP remota.
							</div></li><li class="listitem"><div class="para">
								<span class="guilabel"><strong>Remote Network Gateway</strong></span> â€” La direcciÃ³n Ip de la puerta de enlace para la direcciÃ³n de red remota.
							</div></li><li class="listitem"><div class="para">
								Si en la etapa <a class="xref" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html#list-Security_Guide-list-Security_Guide-list-Security_Guide-st-host-encrypt-type-n">6</a> se ha seleccionado encriptado manual, especifique la clave de encriptado a usarse o haga clic en <span class="guibutton"><strong>Generar</strong></span> para crear una.
							</div><div class="para">
								Especifique una clave de autenticaciÃ³n o haga clic en <span class="guibutton"><strong>Generar</strong></span> para crear una. Esta clave puede ser cualquier combinaciÃ³n de nÃºmeros y letras.
							</div></li></ul></div><div class="para">
						Haga clic en <span class="guibutton"><strong>Siguiente</strong></span> para continuar.
					</div><div class="figure" id="figu-Security_Guide-Network_to_Network_VPN_Connection-Remote_Network_Information"><div class="figure-contents"><div class="mediaobject"><img src="images/fed-ipsec_n_to_n_remote.png" alt="InformaciÃ³n de Red Remota"/><div class="longdesc"><div class="para">
									InformaciÃ³n de Red Remota
								</div></div></div></div><h6>Figura 2.14. InformaciÃ³n de Red Remota</h6></div><br class="figure-break"/></li><li class="listitem"><div class="para">
						Verifique la informaciÃ³n en la pÃ¡gina <span class="guilabel"><strong>IPsec â€” Resumen</strong></span>, y luego haga clic en el botÃ³n <span class="guibutton"><strong>Aplicar</strong></span>.
					</div></li><li class="listitem"><div class="para">
						Seleccione <span class="guimenu"><strong>Archivo</strong></span> => <span class="guimenuitem"><strong>Guardar</strong></span> para guardar la configuraciÃ³n.
					</div></li><li class="listitem"><div class="para">
						Seleccione la conexiÃ³n <abbr class="abbrev">IPsec</abbr> de la lista, y luego haga clic en <span class="guibutton"><strong>Activar</strong></span> para activar la conexiÃ³n.
					</div></li><li class="listitem"><div class="para">
						Habilitando reenvÃo IP:
					</div><div class="orderedlist"><ol><li class="listitem"><div class="para">
								Edite el archivo <code class="filename">/etc/sysctl.conf</code> y establezca <code class="computeroutput">net.ipv4.ip_forward</code> a <strong class="userinput"><code>1</code></strong>.
							</div></li><li class="listitem"><div class="para">
								Use el siguiente comando para habilitar los cambios:
							</div><pre class="screen">[root at myServer ~]# /sbin/sysctl -p /etc/sysctl.conf
</pre></li></ol></div></li></ol></div><div class="para">
				El programa de red para activar la conexiÃ³n <abbr class="abbrev">IPsec</abbr> automÃ¡ticamente crea rutas de red para enviar paquetes a travÃ©s del enrutador <abbr class="abbrev">IPsec</abbr>, si es necesario.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPsec_Host_to_Host_Configuration-Manual_IPsec_Host_to_Host_Configuration.html"><strong>Anterior</strong>2.7.6.2. ConfiguraciÃ³n manual de una conexiÃ³n IPs...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPsec_Network_to_Network_Configuration-Manual_IPsec_Network_to_Network_Configuration.html"><strong>Siguiente</strong>2.7.7.2. ConfiguraciÃ³n manual de una conexiÃ³n IPs...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Virtual_Private_Networks_VPNs-Starting_and_Stopping_an_IPsec_Connection.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.7.8. Iniciar y detener una conexiÃ³n IPsec</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html" title="2.7. Redes privadas virtuales (VPNs, por las iniciales en inglÃ©s de Virtual Private Networks)"/><link rel="prev" href="sect-Security_Guide-IPsec_Network_to_Network_Configuration-Manual_IPsec_Network_to_Network_Configuration.html" title="2.7.7.2. ConfiguraciÃ³n manual de una conexiÃ³n IPsec de tipo red-a-red."/><link rel="next" href="sect-Security_Guide-Firewalls.html" title="2.8. Cortafuegos"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_
 left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPsec_Network_to_Network_Configuration-Manual_IPsec_Network_to_Network_Configuration.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.7.8. Iniciar y detener una conexiÃ³n IPsec"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Virtual_Private_Networks_VPNs-Starting_and_Stopping_an_IPsec_Connection">2.7.8. Iniciar y detener una conexiÃ³n <abbr class="abbrev">IPsec</abbr></h3></div></div></div><div class="para">
			Si la conexiÃ³n <abbr class="abbrev">IPsec</abbr> no fue configurada para activarse durante el arranque del equipo, puede controlarla desde la lÃnea de comandos.
		</div><div class="para">
			Para iniciar la conexiÃ³n, utilice el siguiente comando en cada uno de los equipos para una IPsec de tipo equipo-a-equipo, o en cada uno de los enrutadores <abbr class="abbrev">IPsec</abbr> para una IPsec de tipo red-a-red:
		</div><pre class="screen">[root at myServer ~] # /sbin/ifup <em class="replaceable"><code><nickname></code></em>
</pre><div class="para">
			donde <em class="replaceable"><code><nickname></code></em> es el apodo configurado antes, como por ejemplo, <code class="computeroutput">ipsec0</code>.
		</div><div class="para">
			Para detener la conexiÃ³n, use el siguiente comando:
		</div><pre class="screen">[root at myServer ~] # /sbin/ifdown <em class="replaceable"><code><nickname></code></em>
</pre></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPsec_Network_to_Network_Configuration-Manual_IPsec_Network_to_Network_Configuration.html"><strong>Anterior</strong>2.7.7.2. ConfiguraciÃ³n manual de una conexiÃ³n IPs...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls.html"><strong>Siguiente</strong>2.8. Cortafuegos</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Virtual_Private_Networks_VPNs-VPNs_and_PROD.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.7.2. VPNs y Fedora</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html" title="2.7. Redes privadas virtuales (VPNs, por las iniciales en inglÃ©s de Virtual Private Networks)"/><link rel="prev" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html" title="2.7. Redes privadas virtuales (VPNs, por las iniciales en inglÃ©s de Virtual Private Networks)"/><link rel="next" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec.html" title="2.7.3. IPsec"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><
 a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.7.2. VPNs y Fedora"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Virtual_Private_Networks_VPNs-VPNs_and_PROD">2.7.2. VPNs y Fedora</h3></div></div></div><div class="para">
			Fedora ofrece varias opciones en tÃ©rminos de implementar herramientas de software para conectarse de manera segura en una <acronym class="acronym">WAN</acronym>. La utilizaciÃ³n de <em class="firstterm">Protocolos de Seguridad de Internet</em> (<acronym class="acronym">IPsec</acronym>), es la herramienta <abbr class="abbrev">VPN</abbr> para Fedora, y cubre adecuadamente las necesidades de las organizaciones que posean oficinas sucursales, o usuarios remotos
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html"><strong>Anterior</strong>2.7. Redes privadas virtuales (VPNs, por las inic...</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec.html"><strong>Siguiente</strong>2.7.3. IPsec</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Virtual_Private_Networks_VPNs.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.7. Redes privadas virtuales (VPNs, por las iniciales en inglÃ©s de Virtual Private Networks)</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Securing_Your_Network.html" title="CapÃtulo 2. Asegurando su Red"/><link rel="prev" href="sect-Security_Guide-Additional_Resources-Useful_Kerberos_Websites.html" title="2.6.10.2. PÃ¡ginas web Ãºtiles sobre Kerberos"/><link rel="next" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-VPNs_and_PROD.html" title="2.7.2. VPNs y Fedora"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right"
  href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Useful_Kerberos_Websites.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-VPNs_and_PROD.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="section" title="2.7. Redes privadas virtuales (VPNs, por las iniciales en inglÃ©s de Virtual Private Networks)"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Virtual_Private_Networks_VPNs">2.7. Redes privadas virtuales (VPNs, por las iniciales en inglÃ©s de Virtual Private Networks)</h2></div></div></div><div class="para">
		Las organizaciones con diferentes oficinas satÃ©lites, a menudo se conectan entre ellas mediante lÃneas constituidas especÃficamente para proteger los datos vitales y asegurar la eficacia en su transferencia. Por ejemplo, muchos comercios utilizan lÃneas de frame relay o <em class="firstterm">Modo de Transferencia no Sincronizada</em> (<acronym class="acronym">ATM</acronym>, por las iniciales en inglÃ©s de Asynchronous Transfer Mode) como una herramienta de comunicaciones de tipo punto-a-punto para enlazar una oficina con el resto. Este puede llegar a ser un recurso algo costoso, especialmente para pequeÃ±as o medianas empresas, que quieren expandirse sin tener que pagar los altos costos que involucra la utilizaciÃ³n de circuitos digitales a medida, generalmente utilizados por empresas de mayor poder adquisitivo.
	</div><div class="para">
		Para poder cubrir estas necesidades, se han desarrollado las <em class="firstterm">Redes Privadas Virtuales</em> (<abbr class="abbrev">VPN</abbr>s). Utilizando los mismos principios de funcionamiento que los circuitos a medida, las <abbr class="abbrev">VPN</abbr>s permiten comunicaciones digitales seguras entre dos elementos (o redes), creando una <em class="firstterm">Red de Area Global</em> (<acronym class="acronym">WAN</acronym>, por las iniciales en inglÃ©s de Wide Area Network) a partir de <em class="firstterm">Redes de Area Local</em> (<acronym class="acronym">LAN</acronym>s, Local Area Networks) existentes. La diferencia entre frame relay o ATM reside en el medio de transporte que se utiliza. Las <abbr class="abbrev">VPN</abbr>s transmiten sobre IP mediante la utilizaciÃ³n de datagramas como su medio de transporte, convirtiÃ©ndolas en un conducto seguro a travÃ©s de Internet hacia un destino especÃfico. La mayorÃa de las implementaciones <abbr class="abbrev">VPN</a
 bbr> de software libre incorporan estÃ¡ndares abiertos de mÃ©todos de encriptaciÃ³n para, posteriormente, enmascarar los datos en trÃ¡nsito.
	</div><div class="para">
		Algunas organizaciones utilizan herramientas <abbr class="abbrev">VPN</abbr> de hardware para incrementar la seguridad, mientras que otras utilizan software, o implementaciones derivadas en protocolos. Muchos proveedores ofrecen herramientas <abbr class="abbrev">VPN</abbr> de hardware, como Cisco, Nortel, IBM y Checkpoint. Existe una herramienta gratuita de software <abbr class="abbrev">VPN</abbr> para Linux denominada FreeS/Wan que utiliza una implementaciÃ³n estandarizada del <em class="firstterm">Protocolo de Seguridad de Internet</em> (<abbr class="abbrev">IPsec</abbr>, por las iniciales en inglÃ©s de Internet Protocol Security). Estas herramientas <abbr class="abbrev">VPN</abbr>, ya sean derivadas de hardware o de software, trabajan como enrutadores especializados que existen entre la conexiÃ³n IP desde una oficina hacia otra.
	</div><div class="section" title="2.7.1. Â¿CÃ³mo funciona una VPN?"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Virtual_Private_Networks_VPNs-How_Does_a_VPN_Work">2.7.1. Â¿CÃ³mo funciona una VPN?</h3></div></div></div><div class="para">
			Cuando un paquete se transmite desde un cliente, se envÃa a travÃ©s del enrutador o puerta de enlace <abbr class="abbrev">VPN</abbr>, que le aÃ±ade un <em class="firstterm">Encabezado de autenticaciÃ³n</em> (<abbr class="abbrev">AH</abbr>, por las iniciales en inglÃ©s de Authentication Header) para su enrutamiento y autenticaciÃ³n. Los datos son entonces encriptados y, por Ãºltimo, empaquetados con una <em class="firstterm">Carga Util de Seguridad por Encapsulado</em> (<abbr class="abbrev">ESP</abbr>, por las inicales en inglÃ©s de Encapsulating Security Payload). Esto, mÃ¡s adelante, constituye las instrucciones de desencriptado y entrega.
		</div><div class="para">
			El enrutador <abbr class="abbrev">VPN</abbr> que recibe los paquetes, quita la informaciÃ³n de los cabezales, decripta los datos y los envÃa a su destinatario (ya sea una estaciÃ³n de trabajo u otro nodo en la red). Utilizando una conexiÃ³n de tipo red-a-red, el nodo receptor en la red local recibe los paquetes ya decriptados y listos para su procesamiento. El proceso de encriptado/decriptado en una conexiÃ³n <abbr class="abbrev">VPN</abbr> de tipo red-a-red es transparente al nodo local.
		</div><div class="para">
			Con tal alto nivel de seguridad, un atacante no solo debe tener que poder interceptar el paquete, sino que ademÃ¡s tiene que decriptarlo. Los intrusos que utilizan ataques de tipo intermediario entre un servidor y el cliente, deben tener tambiÃ©n acceso a, como mÃnimo, una de las claves privadas para autenticar sesiones. debido a que se utilizan diferentes capas en el proceso de encriptaciÃ³n y decriptaciÃ³n, las <abbr class="abbrev">VPN</abbr>s son medios seguros y efectivos de conectar mÃºltiples nodos remotos y poder actuar como una intranet unificada.
		</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Useful_Kerberos_Websites.html"><strong>Anterior</strong>2.6.10.2. PÃ¡ginas web Ãºtiles sobre Kerberos</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-VPNs_and_PROD.html"><strong>Siguiente</strong>2.7.2. VPNs y Fedora</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Vulnerability_Assessment-Defining_Assessment_and_Testing.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.2.2. Definiendo evaluaciÃ³n y pruebas</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Vulnerability_Assessment.html" title="1.2. EvaluaciÃ³n de debilidades"/><link rel="prev" href="sect-Security_Guide-Vulnerability_Assessment.html" title="1.2. EvaluaciÃ³n de debilidades"/><link rel="next" href="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html" title="1.2.3. Herramientas de evaluaciÃ³n"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/
 image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Vulnerability_Assessment.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="1.2.2. Definiendo evaluaciÃ³n y pruebas"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Vulnerability_Assessment-Defining_Assessment_and_Testing">1.2.2. Definiendo evaluaciÃ³n y pruebas</h3></div></div></div><div class="para">
			Las evaluaciones de debilidades pueden ser catalogadas en dos grandes tipos: <em class="firstterm">De afuera hacia adentro</em> y <em class="firstterm">de adentro hacia afuera</em>.
		</div><div class="para">
			When performing an outside looking in vulnerability assessment, you are attempting to compromise your systems from the outside. Being external to your company provides you with the cracker's viewpoint. You see what a cracker sees â€” publicly-routable IP addresses, systems on your <em class="firstterm">DMZ</em>, external interfaces of your firewall, and more. DMZ stands for "demilitarized zone", which corresponds to a computer or small subnetwork that sits between a trusted internal network, such as a corporate private LAN, and an untrusted external network, such as the public Internet. Typically, the DMZ contains devices accessible to Internet traffic, such as Web (HTTP) servers, FTP servers, SMTP (e-mail) servers and DNS servers.
		</div><div class="para">
			Cuando realice una evaluaciÃ³n de debilidades desde adentro hacia afuera, usted tiene una especie de ventaja ya que, al estar en una ubicaciÃ³n interna, su estado es el de ser alguien confiable, y por lo tanto, superior. Este es el punto de vista adquieren usted y sus compaÃ±eros de trabajo, cada vez que se registran en el sistema. Puede ver servidores de impresiÃ³n, servidores de archivos, bases de datos, y demÃ¡s recursos.
		</div><div class="para">
			Existen notables distinciones entre estos dos tipos de evaluaciones. Desde el interior de la compaÃ±Ãa se tienen privilegios superiores a los que se obtendrÃan desde el exterior. AÃºn hoy, en muchas organizaciones, la seguridad es configurada de tal manera para evitar que ingresen intrusos desde el exterior, y muy poco se hace para asegurar los elementos internos de la organizaciÃ³n (como ser cortafuegos departamentales, controles de acceso de niveles de usuarios, procedimientos de autenticaciones para recursos internos, etc.). Por lo general, existen muchos mÃ¡s recursos si se busca dentro de una compaÃ±Ãa, ya que la mayorÃa de los sistemas son internos a ella. Una vez que se encuentre fuera de la compaÃ±Ãa, inmediatamente serÃ¡ identificado como un elemento no seguro. Los sistemas y las herramientas disponibles para utilizar desde fuera son, generalmente, muy limitadas.
		</div><div class="para">
			Considere la diferencia existente entre evaluaciones de debilidades y <em class="firstterm">pruebas de penetraciÃ³n</em>. Piense en una evaluaciÃ³n de debilidades como el primer paso de una prueba de penetraciÃ³n. La informaciÃ³n obtenida en la evaluaciÃ³n es utilizada para la prueba. Cualesquiera sean las Ã¡reas o los lugares que el resultado de la evaluaciÃ³n haya sugerido verificar en bÃºsqueda de agujeros o debilidades potenciales, serÃ¡n esos mismos lugares los que la prueba de penetraciÃ³n intentarÃ¡ utilizar para aprovechar esas debilidades e ingresar al sistema.
		</div><div class="para">
			Acceder a la infraestructura de la red es un proceso dinÃ¡mico. La seguridad es dinÃ¡mica, tanto la fÃsica como la de la informaciÃ³n. Realizar una evaluaciÃ³n determina una visiÃ³n general, que puede arrojar resultados falsos, tanto para bien como para mal.
		</div><div class="para">
			La eficacia de los administradores de seguridad es directamente proporcional a las herramientas que utilizan y al conocimiento que poseen. Elija cualquiera de las herramientas de evaluaciÃ³n que se encuentren disponibles actualmente, ejecÃºtelas en su sistema, y es casi una garantÃa que algunos resultados serÃ¡n errÃ³neos. Ya sea por una falla del programa, o por un error del usuario, el resultado serÃ¡ el mismo. La herramienta puede llegar a encontrar debilidades que en realidad no existen (falsos positivos); o , peor aÃºn, la herramienta puede no encontrar debilidades que efectivamente existen (falsos negativos).
		</div><div class="para">
			Ahora que ha sido definida la diferencia entre una evaluaciÃ³n de debilidades y una prueba de penetraciÃ³n, como parte de una mejor aplicaciÃ³n de los mÃ©todos, revise cuidadosamente los datos arrojados por la evaluaciÃ³n antes de realizar una prueba de penetraciÃ³n.
		</div><div class="warning"><h2>Advertencia</h2><div class="para">
				Intentar aprovechar las debilidades de los recursos de producciÃ³n, puede tener efectos adversos en la productividad y eficiencia de sus sistemas y redes.
			</div></div><div class="para">
			En la lista siguiente se examinan algunos de los beneficios de llevar a cabo evaluaciones de vulnerabilidad.
		</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
					Crea un enfoque pro-activo sobre la seguridad de la informaciÃ³n
				</div></li><li class="listitem"><div class="para">
					Encuentra potenciales debilidades antes que las encuentren los atacantes
				</div></li><li class="listitem"><div class="para">
					Funciona en sistemas que se mantiene actualizados y enmendados
				</div></li><li class="listitem"><div class="para">
					Promueve el crecimiento y la asistencia en el desarrollo de la especializaciÃ³n del personal
				</div></li><li class="listitem"><div class="para">
					Reduce las pÃ©rdidas econÃ³micas y la publicidad negativa
				</div></li></ul></div><div class="section" title="1.2.2.1. Estableciendo una metodologÃa"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Defining_Assessment_and_Testing-Establishing_a_Methodology">1.2.2.1. Estableciendo una metodologÃa</h4></div></div></div><div class="para">
				Para ayudar en la selecciÃ³n de las herramientas para realizar una evaluaciÃ³n de debilidades, es Ãºtil establecer un mÃ©todo. Desafortunadamente, por el momento no existe una metodologÃa previamente definida, sin embargo, el sentido comÃºn y el hecho de adoptar buenas costumbres en materia de seguridad pueden actuar como una guÃa eficiente.
			</div><div class="para">
				<span class="emphasis"><em>Â¿CuÃ¡l es el objetivo? Â¿Estamos observando un servidor, o la totalidad de una red y todo lo que en ella existe? Â¿Estamos fuera o dentro de la compaÃ±Ãa?</em></span> Las respuestas a estas preguntas son importantes debido a que ayudan a determinar, no solo las herramientas que tendremos que utilizar, sino tambiÃ©n la forma en que vamos a hacerlo.
			</div><div class="para">
				Para aprender mÃ¡s acerca del establecimiento de metodologÃas, visite los siguientes sitios web:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<a href="http://www.isecom.org/osstmm/">http://www.isecom.org/osstmm/</a> <em class="citetitle">El manual de metodologÃa de prueba de seguridad de cÃ³digo abierto</em> (OSSTMM, por las iniciales en inglÃ©s de The Open Source Security Testing Methodology Manual)
					</div></li><li class="listitem"><div class="para">
						<a href="http://www.owasp.org/">http://www.owasp.org/</a> <em class="citetitle">El proyecto de seguridad de aplicaciones de red abierta</em> (OWASP, por las iniciales en inglÃ©s de The Open Web Application Security Project)
					</div></li></ul></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Vulnerability_Assessment.html"><strong>Anterior</strong>1.2. EvaluaciÃ³n de debilidades</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html"><strong>Siguiente</strong>1.2.3. Herramientas de evaluaciÃ³n</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.2.3. Herramientas de evaluaciÃ³n</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-Vulnerability_Assessment.html" title="1.2. EvaluaciÃ³n de debilidades"/><link rel="prev" href="sect-Security_Guide-Vulnerability_Assessment-Defining_Assessment_and_Testing.html" title="1.2.2. Definiendo evaluaciÃ³n y pruebas"/><link rel="next" href="sect-Security_Guide-Evaluating_the_Tools-Nessus.html" title="1.2.3.2. Nessus"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/im
 age_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Vulnerability_Assessment-Defining_Assessment_and_Testing.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Evaluating_the_Tools-Nessus.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="1.2.3. Herramientas de evaluaciÃ³n"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools">1.2.3. Herramientas de evaluaciÃ³n</h3></div></div></div><div class="para">
			Una evaluaciÃ³n puede iniciarse utilizando algÃºn tipo de herramienta que permita reunir informaciÃ³n. Cuando se acceda a la totalidad de la red, primero haga un mapeo del diagrama para encontrar los equipos que se encuentren en ejecuciÃ³n. Una vez localizados, examine a cada uno de ellos de manera individual. Para concentrarse en estos equipos se necesita otro conjunto de herramientas. Conocer quÃ© herramientas utilizar puede ser la etapa mÃ¡s importante del proceso para poder encontrar debilidades.
		</div><div class="para">
			Al igual que con cualquier aspecto de nuestra vida cotidiana, existen numerosas herramientas diferentes que son capaces de realizar el mismo trabajo. Este concepto tambiÃ©n se aplica a la realizaciÃ³n de evaluaciones de debilidades. Existen herramientas especÃficas para los sistemas operativos, para las aplicaciones, incluso para las redes (de acuerdo a los protocolos utilizados). Algunas herramientas son gratuitas, otras no. Algunas herramientas son intuitivas y sencillas de utilizar, mientras que otras son crÃpticas y poco documentadas, pero que tienen capacidades que otras no poseen.
		</div><div class="para">
			Encontrar las herramientas apropiadas puede ser una tarea intimidante, y la experiencia es un elemento importante para poder hacerlo. Si es posible, establezca un laboratorio de pruebas y utilice la mayor cantidad de herramientas que pueda, anotando las debilidades y fortalezas de cada una de ellas. Adicionalmente, busque mayor informaciÃ³n en Internet mayor informaciÃ³n, como ser por ejemplo artÃculos, guÃas de tipo paso-a-paso, o incluso listas de correo de una herramienta especÃfica.
		</div><div class="para">
			Las herramientas detalladas a continuaciÃ³n son sÃ³lo un pequeÃ±o ejemplo de las que se encuentran disponibles.
		</div><div class="section" title="1.2.3.1. Analizando equipos con Nmap"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Evaluating_the_Tools-Scanning_Hosts_with_Nmap">1.2.3.1. Analizando equipos con Nmap</h4></div></div></div><div class="para">
				Nmap es una herramienta muy conocida incluida en Fedora que puede ser utilizada para determinar el diagrama de una red. Nmap ha estado disponible desde hace muchos aÃ±os, y probablemente sea la herramienta mÃ¡s utilizada para reunir informaciÃ³n de red. Incluye una pÃ¡gina man excelente con informaciÃ³n detallada de sus usos y opciones. Los administradores pueden utilizar Nmap sobre una red para encontrar sistemas de equipos y puertos abiertos en esos sistemas.
			</div><div class="para">
				Nmap es un primer paso muy efectivo en la realizaciÃ³n de evaluaciones de debilidades. Puede mapear todos los equipos dentro de su red, e incluso indicar una opciÃ³n que permite a Nmap intentar identificar el sistema operativo ejecutÃ¡ndose en un equipo determinado. Nmap es un buen fundamento sobre el que establecer una polÃtica de utilizaciÃ³n de servicios seguros, y detener servicios no seguros.
			</div><div class="section" title="1.2.3.1.1. Usando Nmap"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Scanning_Hosts_with_Nmap-Using_Nmap">1.2.3.1.1. Usando Nmap</h5></div></div></div><div class="para">
					Nmap puede ejecutarse desde una terminal ingresando el comando <code class="command">nmap</code>, seguido por el nombre del equipo o direcciÃ³n IP de la mÃ¡quina a analizar.
				</div><pre class="screen"><code class="command">nmap foo.ejemplo.com</code>
</pre><div class="para">
					The results of a basic scan (which could take up to a few minutes, depending on where the host is located and other network conditions) should look similar to the following:
				</div><pre class="screen">Starting Nmap 4.68 ( http://nmap.org )
Interesting ports on foo.ejemplo.com:
Not shown: 1710 filtered ports
PORT    STATE  SERVICE
22/tcp  open   ssh
53/tcp  open   domain
70/tcp  closed gopher
80/tcp  open   http
113/tcp closed auth
</pre><div class="para">
					Nmap verifica los puertos de comunicaciones de red mÃ¡s comunes, en busca de servicios que se encuentren escuchando o esperando. Este conocimiento puede servirle a un administrador que quiere cerrar servicios innecesarios o que no sean utilizados.
				</div><div class="para">
					Para obtener mayor informaciÃ³n acerca de la utilizaciÃ³n de Nmap, visite la pÃ¡gina oficial en la siguiente URL:
				</div><div class="para">
					<a href="http://www.insecure.org/">http://www.insecure.org/</a>
				</div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Vulnerability_Assessment-Defining_Assessment_and_Testing.html"><strong>Anterior</strong>1.2.2. Definiendo evaluaciÃ³n y pruebas</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Evaluating_the_Tools-Nessus.html"><strong>Siguiente</strong>1.2.3.2. Nessus</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Vulnerability_Assessment.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.2. EvaluaciÃ³n de debilidades</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="chap-Security_Guide-Security_Overview.html" title="CapÃtulo 1. Repaso sobre seguridad"/><link rel="prev" href="chap-Security_Guide-Security_Overview.html" title="CapÃtulo 1. Repaso sobre seguridad"/><link rel="next" href="sect-Security_Guide-Vulnerability_Assessment-Defining_Assessment_and_Testing.html" title="1.2.2. Definiendo evaluaciÃ³n y pruebas"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/image
 s/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-Security_Overview.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Vulnerability_Assessment-Defining_Assessment_and_Testing.html"><strong>Siguiente</strong></a></li></ul><div xml:lang="es-ES" class="section" title="1.2. EvaluaciÃ³n de debilidades"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Vulnerability_Assessment">1.2. EvaluaciÃ³n de debilidades</h2></div></div></div><div class="para">
		Dependiendo del tiempo, de los recursos y de la motivaciÃ³n, un atacante puede ingresar prÃ¡cticamente en cualquier sistema. En tÃ©rminos absolutos, ninguna tecnologÃa o proceso en seguridad actualmente disponible, puede garantizar que un sistema determinado sea completamente invulnerable. Los enrutadores contribuyen a la seguridad de las puertas de enlace frente a Internet. Los cortafuegos contribuyen a la seguridad de las redes internas. Las redes virtuales privadas envÃan datos en forma segura mediante un flujo encriptado. Sistemas para la detecciÃ³n de extraÃ±os le avisan en caso de encontrar actividad malintencionada. Sin embargo, el Ã©xito de cada una de estas tecnologÃas depende de una numerosa cantidad de variables, entre las cuales podemos encontrar:
	</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
				La experiencia del equipo responsable de la configuraciÃ³n, monitoreo y manutenciÃ³n de esas tecnologÃas.
			</div></li><li class="listitem"><div class="para">
				La habilidad para enmendar y actualizar servicios y servidores en forma veloz y eficiente.
			</div></li><li class="listitem"><div class="para">
				La habilidad de quienes son responsables de mantener sobre la red una vigilancia permanente.
			</div></li></ul></div><div class="para">
		Debido a las caracterÃsticas dinÃ¡micas de los sistemas de datos y de las tecnologÃas, asegurar los recursos corporativos puede llegar a ser algo bastante complejo. Debido a esta complejidad, a menudo es difÃcil encontrar herramientas experimentadas para todos sus sistemas. Si bien es posible contar con personal cuyos conocimientos abarquen numerosos aspectos de los niveles generales de la seguridad en la informaciÃ³n, es difÃcil conservar a quienes puedan considerarse expertos en los diferentes aspectos de una misma Ã¡rea. Principalmente esto sucede debido a que cada aspecto de cada Ã¡rea de la seguridad en la informaciÃ³n necesita atenciÃ³n y concentraciÃ³n constante. La seguridad en la informaciÃ³n nunca permanece inmÃ³vil.
	</div><div class="section" title="1.2.1. Pensando como el enemigo"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Vulnerability_Assessment-Thinking_Like_the_Enemy">1.2.1. Pensando como el enemigo</h3></div></div></div><div class="para">
			Imagine que usted administra la red de una empresa. Por lo general tales redes estÃ¡n compuestas de sistemas operativos, aplicaciones, servidores, monitores de red, cortafuegos, sistemas para la detecciÃ³n de intrusos, y mucho mÃ¡s. Ahora imagÃnese tratando de mantenerse actualizado en todos esos aspectos. Dada la complejidad del software y de los entornos de red que existe hoy en dÃa, los errores y los puntos dÃ©biles son permanentes. Mantenerse al dÃa con los parches y las actualizaciones, para la totalidad de la red de una gran organizaciÃ³n con sistemas heterogÃ©neos, puede convertirse en una tarea intimidante.
		</div><div class="para">
			Combine la experiencia que habrÃa que necesitarse, con las tareas a realizar para mantenerse actualizado, y serÃ¡n inevitables la presencia de incidentes, de sistemas vulnerados, de datos alterados, y de servicios interrumpidos.
		</div><div class="para">
			Para incrementar las tecnologÃas en seguridad y ayudar a proteger los sistemas, redes y datos, deberÃa pensar del mismo modo en que lo hace un atacante, y desde este punto de vista comprobar la seguridad de su sistema verificando sus debilidades. Realizar evaluaciones de seguridad preventivas de su sistema y recursos de red, pueden enseÃ±arle potenciales problemas, y solucionarlos, antes que sean aprovechados por un atacante.
		</div><div class="para">
			Una evaluaciÃ³n de debilidades es una auditorÃa interna de su red y de su sistema de seguridad, cuyo resultado indica la confidencialidad, integridad y disponibilidad de su red (como es explicado en <a class="xref" href="chap-Security_Guide-Security_Overview.html#sect-Security_Guide-What_is_Computer_Security-Standardizing_Security" title="1.1.1.3. Estandarizando la seguridad">SecciÃ³nÂ 1.1.1.3, â€œEstandarizando la seguridadâ€</a>). Por lo general, una evaluaciÃ³n de debilidades se inicia con una etapa de reconocimiento, durante la cual se obtienen datos importantes relacionados con los sistemas y los recursos involucrados. En la etapa siguiente se verifica el sistema en busca de debilidades conocidas, y culmina con una etapa de informe, en donde todo lo que se ha encontrado es clasificado entre las categorÃas de riesgo alto, medio y bajo. En esta Ãºltima etapa, ademÃ¡s, se proponen mÃ©todos para mejorar la seguridad (o eliminar el riego) del sistema analizado.
		</div><div class="para">
			Si usted tuviera que realizar una evaluaciÃ³n de las debilidades de su hogar, seguramente verificarÃa que cada una de las puertas se encuentre cerrada con llave. TambiÃ©n confirmarÃa que cada una de las ventanas estÃ© cerrada, y trabada con el pestillo. El mismo concepto se aplica a los sistemas, redes y datos electrÃ³nicos. Los usuarios malintencionados son los ladrones de sus datos. ConcÃ©ntrese en las herramientas que utilizan, en su forma de pensar y en sus motivaciones, y entonces serÃ¡ capaz de poder anticiparse a sus acciones.
		</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-Security_Overview.html"><strong>Anterior</strong>CapÃtulo 1. Repaso sobre seguridad</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Vulnerability_Assessment-Defining_Assessment_and_Testing.html"><strong>Siguiente</strong>1.2.2. Definiendo evaluaciÃ³n y pruebas</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.4.3. AlteraciÃ³n de los archivos de configuraciÃ³n de xinetd</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html" title="2.5.4. Archivos de configuraciÃ³n de xinetd"/><link rel="prev" href="sect-Security_Guide-xinetd_Configuration_Files-The_etcxinetd.d_Directory.html" title="2.5.4.2. El directorio /etc/xinetd.d/"/><link rel="next" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Access_Control_Options.html" title="2.5.4.3.2. Opciones para el control de acceso"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image
 _left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-xinetd_Configuration_Files-The_etcxinetd.d_Directory.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Access_Control_Options.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.5.4.3. AlteraciÃ³n de los archivos de configuraciÃ³n de xinetd"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files">2.5.4.3. AlteraciÃ³n de los archivos de configuraciÃ³n de xinetd</h4></div></div></div><div class="para">
				Existen disponibles una variedad de directivas protegidas por <code class="systemitem">xinetd</code>. En esta secciÃ³n se detallan algunas de las opciones mÃ¡s comunmente utilizadas.
			</div><div class="section" title="2.5.4.3.1. Opciones para registrado"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Altering_xinetd_Configuration_Files-Logging_Options">2.5.4.3.1. Opciones para registrado</h5></div></div></div><div class="para">
					Las siguientes opciones de registro se encuentran disponibles tanto para <code class="filename">/etc/xinetd.conf</code> como para los archivos de configuraciÃ³n del servicio especÃfico en el directorio <code class="filename">/etc/xinetd.d/</code>.
				</div><div class="para">
					La siguiente es una lista de las opciones de registro mÃ¡s utilizadas:
				</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
							<code class="option">ATTEMPT</code> â€” Registra el hecho de haberse realizado un intento fallido (<code class="option">log_on_failure</code>).
						</div></li><li class="listitem"><div class="para">
							<code class="option">DURATION</code> â€” Registra el perÃodo de tiempo total en que ha sido utilizado el servicio por un sistema remoto (<code class="option">log_on_success</code>).
						</div></li><li class="listitem"><div class="para">
							<code class="option">EXIT</code> â€” Registra el estado de salida, o la seÃ±al de finalizaciÃ³n del servicio (<code class="option">log_on_success</code>).
						</div></li><li class="listitem"><div class="para">
							<code class="option">HOST</code> â€” Registra la direcciÃ³n IP del equipo remoto (<code class="option">log_on_failure</code> y <code class="option">log_on_success</code>).
						</div></li><li class="listitem"><div class="para">
							<code class="option">PID</code> â€” Registra el ID de los procesos del servidor que recibe el pedido (<code class="option">log_on_success</code>).
						</div></li><li class="listitem"><div class="para">
							<code class="option">USERID</code> â€” Registra a los usuarios remotos que utilizan el mÃ©todo definido en RFC 1413 para todos los servicios stream de aspectos mÃºltiples (<code class="option">log_on_failure</code> y<code class="option">log_on_success</code>).
						</div></li></ul></div><div class="para">
					Para obtener una lista completa de opciones de registro, consulte la pÃ¡gina man de <code class="filename">xinetd.conf</code>.
				</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-xinetd_Configuration_Files-The_etcxinetd.d_Directory.html"><strong>Anterior</strong>2.5.4.2. El directorio /etc/xinetd.d/</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Access_Control_Options.html"><strong>Siguiente</strong>2.5.4.3.2. Opciones para el control de acceso</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-xinetd_Configuration_Files-The_etcxinetd.d_Directory.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.4.2. El directorio /etc/xinetd.d/</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="Fedora-security-guide-12-es-ES-1.1-Security_Guide"/><link rel="home" href="index.html" title="guÃa de seguridad"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html" title="2.5.4. Archivos de configuraciÃ³n de xinetd"/><link rel="prev" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html" title="2.5.4. Archivos de configuraciÃ³n de xinetd"/><link rel="next" href="sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html" title="2.5.4.3. AlteraciÃ³n de los archivos de configuraciÃ³n de xinetd"/></head><body class="draft "><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image
 _left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html"><strong>Anterior</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html"><strong>Siguiente</strong></a></li></ul><div class="section" title="2.5.4.2. El directorio /etc/xinetd.d/"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-xinetd_Configuration_Files-The_etcxinetd.d_Directory">2.5.4.2. El directorio /etc/xinetd.d/</h4></div></div></div><div class="para">
				El directorio <code class="filename">/etc/xinetd.d/</code> contiene los archivos de configuraciÃ³n para cada servicio administrado por <code class="systemitem">xinetd</code>, y los nombres de los archivos correspondientes al servicio. Del mismo modo que con <code class="filename">xinetd.conf</code>, este directorio es de solo lectura cuando el servicio <code class="systemitem">xinetd</code> es iniciado. Para que cualquier cambio pueda tener efecto, el administrador debe reiniciar el servicio <code class="systemitem">xinetd</code>.
			</div><div class="para">
				El formato de los archivos en el directorio <code class="filename">/etc/xinetd.d/</code> utiliza las mismas convenciones que <code class="filename">/etc/xinetd.conf</code>. La principal razÃ³n por la que la configuraciÃ³n de cada servicio sea almacenada en un archivo diferente, es para hacer mÃ¡s sencilla la personalizaciÃ³n, y menos propensa a modificar otros servicios.
			</div><div class="para">
				Para adquirir una mejor comprensiÃ³n acerca de cÃ³mo estÃ¡n estructurados estos archivos, prestele atenciÃ³n al archivo <code class="filename">/etc/xinetd.d/krb5-telnet</code>:
			</div><pre class="screen">service telnet
{
         flags           = REUSE
         socket_type     = stream
         wait            = no
         user            = root
         server          = /usr/kerberos/sbin/telnetd
         log_on_failure  += USERID
         disable         = yes
}
</pre><div class="para">
				Estas lÃneas controlan numerosos aspectos del servicio <code class="command">telnet</code>:
			</div><div class="itemizedlist"><ul><li class="listitem"><div class="para">
						<code class="option">service</code> â€” Especifica el nombre del servicio, generalmente uno de aquellos listados en el archivo <code class="filename">/etc/services</code>
					</div></li><li class="listitem"><div class="para">
						<code class="option">flags</code> â€” Establece alguno de los atributos para la conexiÃ³n. <code class="option">REUSE</code> le indica a <code class="systemitem">xinetd</code> que vuelva a utilizar el socket para una conexiÃ³n Telnet.
					</div><div class="note"><h2>Nota</h2><div class="para">
							La marca <code class="option">REUSE</code> es obsoleta. Todos los servicios hoy en dÃa utilizan la marca <code class="option">REUSE</code>.
						</div></div></li><li class="listitem"><div class="para">
						<code class="option">socket_type</code> â€” Establece el tipo de socket de red a <code class="option">stream</code>.
					</div></li><li class="listitem"><div class="para">
						<code class="option">wait</code> â€” Especifica cuando el servicio es tratado como de uno solo hilo de ejecuciÃ³n (<code class="option">yes</code>) o como de mÃºltiples hilos de ejecuciÃ³n (<code class="option">no</code>).
					</div></li><li class="listitem"><div class="para">
						<code class="option">user</code> â€” Especifica bajo quÃ© ID de usuario se estÃ¡ ejecutando el proceso.
					</div></li><li class="listitem"><div class="para">
						<code class="option">server</code> â€” Especifica el binario ejecutable a ser lanzado.
					</div></li><li class="listitem"><div class="para">
						<code class="option">log_on_failure</code> â€” Especifica parÃ¡metros de registro para <code class="option">log_on_failure</code>, ademÃ¡s de los que ya estÃ¡n definidos en <code class="filename">xinetd.conf</code>.
					</div></li><li class="listitem"><div class="para">
						<code class="option">disable</code> â€” Especifica cuÃ¡ndo el servicio debe ser desactivado (<code class="option">yes</code>), o activado (<code class="option">no</code>).
					</div></li></ul></div><div class="para">
				Para obtener mayor informaciÃ³n sobre estas opciones y su uso, consulte la pÃ¡gina man de <code class="filename">xinetd.conf</code>.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html"><strong>Anterior</strong>2.5.4. Archivos de configuraciÃ³n de xinetd</a></li><li class="up"><a accesskey="u" href="#"><strong>Subir</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Inicio</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html"><strong>Siguiente</strong>2.5.4.3. AlteraciÃ³n de los archivos de configurac...</a></li></ul></body></html>