Este modelo no hace referencia a una función de confidencialidad, es decir, encriptado de los datos que transitan una red pública; hace énfasis en la regulación del tráfico, y no en la seguridad en tránsito. De todas formas, dicha función podría delegarse a algún sistema intermedio que comunique de forma segura la red externa con los sistemas finales, enfocados en implementar este modelo, con lo cual se obtiene una solución bastante flexible (planteada en este documento). Además se observa que este modelo es bastante flexible ya que responde tanto a una solución tradicional, perimetral, como a un enfoque basado en la seguridad de sistemas finales
Tecnologías y aspectos de seguridad
Anteriormente se vieron cuáles son los servicios de seguridad que debería ofrecer una solución firewall. Para poder implementar y llevar a cabo estos servicios se necesita de una arquitectura de hardware apropiada sobre la cual se configurarán los diferentes servicios.
Existen diferentes formas de configurar una solución (que se tratarán en la tercera parte), pero básicamente lo componentes principales de cualquier sistema de comunicaciones protegido por un firewall son: Routers, Gateways, Proxies y Hosts o Sistemas finales que conforman la red, todos ellos comunicados por algún medio de transmisión. A continuación se describe brevemente cada uno de estos sistemas. Luego se describirán las tecnologías que hacen posible ofrecer los servicios mencionados, sobre qué componente pueden ser instaladas y cómo.
Routers
Un router es un dispositivo que reenvía o retransmite paquetes entre dos o más redes (ver Figura 2). Operan sobre la capa de red por lo que no necesitan implementar los niveles superiores de la arquitectura de red (aunque también es posible encontrar la capa de Transporte lo que permite extender algunos servicios).
A medida que los paquetes son recibidos por el router, utiliza información de direccionamiento de los paquetes IP para determinar la mejor ruta que puede tomar para llegar a su destino final. El paquete es ruteado a través de la red mediante un algoritmo que utiliza una tabla de ruteo que contiene información de todas las redes conocidas por él, el número de nodos hasta una red determinada, y la dirección del router en la dirección de la red destino.
Figura 2: Funcionamiento básico de un Router
Gateways y Proxies
Un gateway o puerta de enlace es un sistema que actúa como intermediario o compuerta entre una red privada y una red a la cual está conectada (generalmente Internet), es decir que todo el tráfico existente entre ambas redes pasa por esta compuerta (ver Figura 3). Está encargado de capturar y redirigir todos los mensajes y solicitudes de conexión provenientes de la red pública, destinados a servicios ofrecidos por sistemas finales (servidores de aplicación, por Ej. Web, FTP, HTTP, etc) dentro de la red privada y vise versa. Este servicio es implementado en el gateway mediante el uso de aplicaciones de software llamadas proxies.
Un servidor proxy es una aplicación situada entre una aplicación cliente y un servidor real (por Ej. un servidor Web), actuando como cliente de éste último. Intercepta todas las solicitudes al servidor real; si él puede responder la solicitud lo hace (con información previamente obtenida del servidor), sino redirecciona la solicitud al mismo.
Figura 3: Funcionamiento básico de un Servidor Proxy
Los proxies comprenden la sintaxis de un protocolo pero no implementan ninguna de sus funcionalidades. Simplemente verifican que un mensaje proveniente de un host externo es apropiado, y luego lo envía al sistema encargado de procesar los datos (el servidor real al cual estaba dirigido el mensaje).
El uso de un proxy tiene dos propósitos: mejorar el desempeño de la red: los servidores proxy pueden mejorar en gran medida el desempeño para un grupo de usuarios ya que ahorra la obtención de los resultados (consultas al servidor real) de todas las solicitudes para una cierta cantidad de tiempo; y filtrar solicitudes: de esta forma puede ofrecer un servicio de seguridad básico y muy importante para proteger una intranet o un sistema de información conectado a una red pública.
Otra ventaja de utilizar estos sistemas es que permite monitorear y controlar toda actividad de la red que involucre comunicación con el exterior (en ambas direcciones).
Cuando este sistema actúa como firewall, verifica si tales solicitudes o mensajes son permitidos y las rechaza en caso de que así lo determine, en función a las reglas que se le hayan impuesto.
El gateway está asociado con un router para determinar dónde son enviados los paquetes en función de tablas de ruteo e información del paquete.
Sistemas finales
Los sistemas finales de una red son tanto aquellos equipos destinados a ofrecer un servicio, como por ejemplo un servidor Web, un servidor FTP, un servidor de Correo Electrónico, etc., como aquellos sistemas utilizados por los integrantes de la organización que posee la red, para administración o simple uso de los recursos existentes. Estos también son conocidos como hosts.
Cuando se habla de seguridad en una red, la idea es proteger a los sistemas finales de ataques o intrusos que intenten tomar provecho de los recursos disponibles a través de la red, y no de impedir que atraviesen los puntos de acceso; éste es el medio por el cual se logra el objetivo final (comunicarse).
Todos los dispositivos de una red son capaces de soportar e implementar los servicios de seguridad necesarios para proveer protección a los sistemas finales (inclusive ellos mismos). El lugar (dispositivo) en la red donde se instalen los distintos servicios de seguridad determina la flexibilidad y granularidad de la protección. Un ataque puede provenir desde cualquier sitio de la red, tanto interna como externa por lo que los sistemas finales deberían protegerse por sí mismos de los intrusos.
La literatura suele referirse a diferentes tipos de hosts según la función que cumplen, como por ejemplo, un host gateway es aquel que cumple la función de un gateway o host firewall, aquel que realiza funciones de un firewall. Un término de particular importancia es el de “host bastión”. Éste es un sistema de cómputo altamente protegido ya que está expuesto a Internet y es el principal punto de contacto con usuarios de la red interna por lo que es vulnerable a los ataques. Generalmente implementan varias funciones y mecanismos de control combinando funciones de filtrado de paquetes y servicios proxies.
Existen diferentes estrategias y configuraciones para implementar una solución de seguridad que deberá responder a las necesidades de protección de los sistemas finales y a las restricciones impuestas por los recursos disponibles para llevarla a cabo.