Hasta ahora se ha hablado de las redes wireless como las únicas redes que existían. Realmente muchos de los potenciales gestores de nodos tendrán su nodo conectado a otras redes, como una red interna de empresa o de casa, o quizá a Internet. En este sentido la información que se mueve fuera de las redes de radio podría necesitar protección por una de varias razones. Puede ser que el gestor no quiere que alguien entre en su propia red interna, pero no le importa ofrecer el servicio radio y los enlaces a otros nodos sin problema.
Para solucionar este tipo de problema la única solución razonable es la de poner un firewall, una técnica claramente explicada en varios sitios en Internet, cuyo objetivo es simplemente filtrar el tráfico que está pasando entre las distintas redes de un nodo, filtrando y dejando pasar o no la información que parece oportuno.
Partiendo de la base de que queremos montar un firewall, tenemos que tener en cuenta varias cosas, para poder ponerlo en marcha. Hay varias soluciones posibles, algunas son dependiente del sistema operativo utilizado y además hay soluciones comerciales que funcionan en distintos sistemas operativos.
En linux hay varias opciones que dependerán de la versión del kernel instalado: las principales siendo IPCHAINS y IPTABLES. FreeBSD y las otras versiones de BSD tienen ipfw. La ventaja de estas opciones es que vienen con el propio sistema operativo aunque no siempre están soportados por el kernel instalado por defecto. Ver los manuales correspondientes para más información.
Un enlace para configurar un firewall con IPTABLES en linux es http://www.boingworld.com/workshops/linux/iptables-tutorial/iptables-tutorial/iptables-tutorial.html También existen varios documentos HOWTO para Linux que explican la configuración de un firewall.
Hay que seguir una serie de normas en la configuración de un firewall, es decir, a partir de un diseño del nodo hay que tener en cuenta varios factores entre ellos:
los distintos interfaces a que el firewall está conectado
las distintas redes y las direcciones ip asociadas conectadas al firewall
La deseabilidad que el tráfico desde una red a otra pasa a través un interfaz en concreto
Los distintos servicios IP permitidos o denegados (http, smtp, dns, ping) usando tcp, udp, icmp, etc.
Si es necesario convertir la dirección ip al salir del interfaz (NAT) a otra distinta
Un firewall va a tener habitualmente las siguientes conexiones/redes a tratar:
Direcciones ip de la red de su nodo
Direcciones ip de la red de su grupo wireless
Direcciones ip de la(s) red(es) de enlace a otro(s) nodo(s)
Direcciones ip de su red interna
Un enlace a Internet (que usa el resto de las direcciones IP)
Solamente viendo la matriz de posibles conexiones entre una red y otra, y teniendo en cuenta que tenemos que tratar tráfico ip en los dos sentidos (de ida y vuelta), nos damos cuenta que la configuración de un firewall es bastante compleja.
La mayoría de las configuraciones de un firewall permiten que no solo podemos decidir si aceptar o denegar el tráfico a través del firewall, pero también podemos guardar en un log los intentos de hacer pasar tráfico IP que está prohibida.
La política que hay que seguir con los logs que genera el firewall es mantenerlos por un tiempo determinado, quizá 3 meses, por si acaso ocurriera algún incidente tener un registro de lo ocurrido.
Se debería comentar que un nodo no debería filtrar tráfico cuya fuente y destino es de su propia red wireless, porque esto obstruiría el correcto funcionamiento de la red.
Si un grupo wireless decide conectarse a otro grupo entonces tampoco debería estar filtrado el tráfico con el otro grupo wireless. Si varios nodos tienen configurados un firewall se les debería avisar con tiempo suficiente para poder cambiar la configuración de su firewall antes de confirmar la interconectividad con el otro grupo.
Una recomendación a hacernos, es la utilización de un IDS (Detector de Intrusión) ya que facilitaría las cosas al tener que detectar un intento de ataque, bien desde nuestra red wireless o desde otras redes wireless externas.
Existen varios IDS que se podría utilizar entre ellos es el snort http://www.snort.org y la política a seguir sobre los logs del IDS sería la misma que se aplica en el caso de los firewalls.
Mucha gente está interesada en las redes wireless como medio barato de acceder a Internet usando la conexión de otro.
En principio se puede ofrecer la conexión a Internet desde un nodo pero tenemos que tener en cuenta que todos las conexiones de esta manera requerirán la modificación de la dirección IP de origen (un proceso que se llama NAT) al menos cuando se usan direcciones IP privadas.
En estos casos tampoco será posible conectar desde Internet "hacía dentro" por el mismo motivo: las direcciones IP de las redes wireless no son públicas y desde Internet no se puede enrutar a una red privada.
No obstante la conexión a Internet, incluso con NAT, permite el uso de un montón de servicios como DNS, correo, web, ftp entre otros.
Debemos también hacer constar que la velocidad máxima de las redes wireless 802.11b permite hasta un 11Mb/s algo bastante superior a la velocidad típica de una conexión a Internet desde casa que incluso con ADSL no suele pasar de 256kb/s de entrada.
Así que los que deciden ofrecer acceso a Internet podrían ver su conexión saturada por los usuarios wireless si no toman medidas oportunas.
Finalmente se menciona que no solo existirá la posibilidad de tener acceso a Internet sino que este servicio podría estar ofrecido en varios puntos de la red wireless. La gestión de las múltiples rutas dentro de la red hacia la ruta por defecto puede complicarse mucho y haría faltar determinar la mejor forma de su gestión.
Quality of Service va aquí