Además del filtrado de paquetes, es habitual que los cortafuegos utilicen
aplicaciones software para reenviar o bloquear conexiones a servicios
como finger, telnet o FTP; a tales aplicaciones se les
denomina servicios proxy, mientras que a la máquina donde se ejecutan
se le llama pasarela de aplicación.
Los servicios proxy poseen una serie de ventajas de cara a incrementar
nuestra seguridad ([WC94]); en primer lugar, permiten únicamente la
utilización de
servicios para los que existe un proxy, por lo que si en nuestra
organización la pasarela de aplicación contiene únicamente proxies
para telnet, HTTP y FTP, el resto de servicios no estarán
disponibles para nadie. Una segunda ventaja es que en la pasarela es posible
filtrar protocolos basándose en algo más que la cabecera de las tramas, lo
que hace posible por ejemplo tener habilitado un servicio como FTP pero
con órdenes restringidas (podríamos bloquear todos los comandos put para que nadie pueda subir ficheros a un servidor). Además, los application gateways permiten un grado de ocultación de la estructura de
la red protegida (por ejemplo, la pasarela es el único sistema cuyo nombre
está disponible hacia el exterior), facilita la autenticación y la
auditoría del tráfico sospechoso antes de que alcance el host
destino y, quizás más importante, simplifica enormemente las reglas de
filtrado implementadas en el router (que como hemos dicho antes pueden
convertirse en la fuente de muchos problemas de seguridad): sólo hemos de
permitir el tráfico hacia la pasarela, bloqueando el resto.
>Qué servicios ofrecer en nuestro gateway, y cómo hacerlo? La
configuración de la mayoría de servicios `habituales' está muy bien
explicada (como el resto del libro) en el capítulo 8 de [CZ95].
Además, en numerosos artículos se comentan problemas específicos de
algunos servicios; uno muy recomendable, centrado en el sistema de ventanas
X Window, pero donde también se habla de otros protocolos, puede ser
[TW93].
El principal inconveniente que encontramos a la hora de instalar una pasarela
de aplicación es que cada servicio que deseemos ofrecer necesita su propio
proxy; además se trata de un elemento que frecuentemente es más caro
que un simple filtro de paquetes, y su rendimiento es mucho menor (por ejemplo,
puede llegar a limitar el ancho de banda efectivo de la red, si el análisis
de cada trama es costoso). En el caso de protocolos cliente-servidor (como
telnet) se añade la desventaja de que necesitamos dos pasos para
conectar hacia la zona segura o hacia el resto de la red; incluso algunas
implementaciones necesitan clientes modificados para funcionar correctamente.
Una variante de las pasarelas de aplicación la constituyen las pasarelas de
nivel de circuito (Circuit-level Gateways, [CB94]), sistemas
capaces de redirigir conexiones (reenviando tramas) pero que no pueden procesar
o filtrar paquetes en base al protocolo utilizado; se limitan simplemente a
autenticar al usuario (a su conexión) antes de establecer el circuito virtual
entre sistemas. La principal ventaja de este tipo de pasarelas es que proveen
de servicios a un amplio
rango de protocolos; no obstante, necesitan software especial que tenga
las llamadas al sistema clásicas sustituidas por funciones de librería
seguras, como SOCKS ([KK92]).
© 2002 Antonio Villalón Huerta