Un Proxy de Aplicación es una aplicación software capaz de filtrar las conexiones a servicios, es decir, capaz de reenviar o bloquear conexiones a servicios.
Los proxies cogen las peticiones de los usuarios sobre servicios de Internet, como FTP y Telnet, y responden a dichas peticiones según la política de seguridad. Los proxies proporcionan conexiones y actúan de pasarela entre la propia máquina o la red interna y la red externa. Por este motivo, también se denominan pasarelas de nivel de aplicación.
La actuación de un proxy entre un usuario de la red interna y un servicio de la red externa es más o menos transparente.
Como se puede observar en la figura, un proxy requiere dos componentes: un servidor proxy y un proxy cliente. El servidor proxy se ejecuta en un host situado entre la red interna y la externa, mientras que el proxy cliente es una versión especial de un programa cliente normal como Telnet o FTP cliente, que se comunica con el servidor proxy como si fuera el servidor "real" de la red externa. El servidor proxy evalua las peticiones del proxy cliente y decide si aprobar o denegar la petición.Si la petición se aprueba deacuerdo a la política de seguridad, el servidor proxy contacta con el servidor "real" y mandará las respuestas del servidor "real" al proxy cliente.
Con los proxies de aplicación se cuenta con una serie de ventajas sobre seguridad como por ejemplo las siguientes:
- Sólo permiten la utilización de servicios para los que existe un proxy, por lo que el administrador de red tiene un control absoluto sobre los servicios soportados por el proxy.
- En comparación con el filtrado de paquetes, en la pasarela es posible filtrar protocolos basándose en algo más que en la cabecera de las tramas. De este modo, resulta posible tener habilitado un servicio con sólo una serie de comandos permitidos.
- La pasarela de aplicación permite un grado de ocultación de la estructura del perímetro de seguridad, ya que se pueden enmascarar la dirección de las máquinas de la red interna. Es decir, actúan como traductores de direcciones de red (NAT).
- Debido al hecho de que las aplicaciones proxy son componentes software ejecutándose en la máquina bastión, se facilita la autenticación y la auditoría del tráfico sospechoso antes de que alcance el host destino.
- Se simplifican las reglas de filtrado implementadas en el router, ya que únicamente se permite el tráfico hacia la pasarela, bloqueando el resto. Además, la definición de las reglas de filtrado a nivel de aplicación es mucho más sencilla que a nivel de paquete, pudiendo implementar reglas más conservadoras con mayor flexibilidad.
Por otra parte, a la hora de instalar una pasarela de aplicación nos encontramos con los siguientes inconvenientes:
- Los cortafuegos más antiguos requerían que el usuario de la red interna instalara software especial de cliente para cada uno de los servicios habilitados. Otros requerían que, empleando el software de cliente habitual, se siguieran ciertas indicaciones de uso. De este modo, nuevas aplicaciones de Internet exigían escribir e instalar nuevos servicios proxy en el firewall y nuevos clientes proxy en los ordenadores de los usuarios. Hoy en día, los cortafuegos de aplicación son completamente transparentes para los usuarios finales.
- Es un elemento usualmente más caro y de rendimiento menor que un filtro de paquetes.
- En el caso de protocolos cliente-servidor, se requieren dos pasos para conectar hacia la zona segura o hacia el resto de la red.
- Algunas implementaciones necesitan clientes modificados para funcionar correctamente.
- Se puede producir una degradación en el rendimiento, en el caso de que sean muchos los servicios proxy en la misma máquina y las reglas de filtrado sean complejas.
- Para una total seguridad, se requiere un mecanismo adicional que restrinja las comunicaciones directas entre las máquinas de la red interna y las del exterior, como es el filtrado de paquetes.
Una variante de las pasarelas de aplicación la constituyen las pasarelas de nivel de circuito (Circuit-level Gateways), que son sistemas capaces de redirigir conexiones (reenviando tramas). Estos sistemas no pueden procesar o filtrar paquetes en base al protocolo utilizado, sino que se limitan únicamente a autenticar al usuario (a su conexión) antes de establecer el circuito virtual entre sistemas. Además resultan ventajosos en cuanto a que proveen de servicios a un amplio rango de protocolos. Sin embargo, necesitan software especial que tenga las llamadas al sistema clásicas sustituidas por funciones de librería seguras, como SOCKS.
5.3. MONITORIZACIÓN Y DETECCIÓN DE ACTIVIDAD SOSPECHOSA
Un firewall, como cualquier sistema de seguridad bueno, ha de permitir el seguimiento de los registros anómalos y permitidos realizados hacia y desde el sistema. Por lo tanto , resulta imprescindible monitorizar la actividad del firewall para la seguridad del perímetro protegido. La monitorización facilita información sobre:
- Intentos de ataque: origen, franjas horarias, tipos de acceso.
- Existencia de tramas sospechosas.
La información que se debe registrar es la siguiente:
- Tipos de paquetes recibidos, frecuencias, direcciones fuente y destino,
- Información de la conexión: origen y destino, nombre de usuario, hora y duración,
- Intentos de uso de protocolos denegados,
- Intentos de falsificación de dirección por parte de máquinas internas al perímetro de seguridad (paquetes que llegan desde la red externa con la dirección de un equipo interno)
- Tramas recibidas desde routers desconocidos.
Para registrar esta información es necesario indicar las siguientes características:
- Información de servicio: fecha y hora.
- Información remota: la/s dirección/es IP del presunto atacante, así como su puerto y el protocolo de comunicación utilizado.
- Información Local: dirección IP de destino y su puerto de acceso.
- Filtrado de Información: forma en que ha actuado el filtro que empleamos y qué adaptador de red lo hizo.
- Paquetes de información: primeras líneas (de identificación) de cada uno de los paquetes (generalmente, en formato hexadecimal).
Todos estos registros quedan almacenados en archivos de registro (log), que han de ser leídos con frecuencia y el administrador de la red ha de tomar medidas si se detectan actividades sospechosas.
Cabe mencionar la tecnología Stateful Multi-Layer Inspection (SMLI) que constituye una extensión del filtrado de paquetes, ya que no se limita a examinar los paquetes a nivel de red, sino que los analiza a todos los niveles de la pila de protocolos, al tiempo que extrae información relevante sobre el estado de la comunicación y de la aplicación. Para cada conexión TCP o UDP, el cortafuegos crea una tabla con las direcciones IP de origen y destino, números de puertos origen y destino, números de secuencia de los paquetes, entre otros datos adicionales asociados a la conexión en particular.
De este modo, gracias a su motor de isnpección y la información de estado de la conexión almacenada en las tablas, el firewall puede implantar la política de seguridad de la organización.
Este motor de inspección cuenta con una serie de ventajas como las que se describen a continuación:
- El rendimiento no se ve afectado notablemente, ya que son más rápidos al operar principalmente a los niveles bajos de la pila de protocolos. De este modo, no afecta el número de usuarios conectados a través del cortafuegos.
- Se puede adaptar a protocolos y aplicaciones nuevamente definidos, facilitando así la escalabilidad. Es decir, el cortafuegos es transparente para las aplicaciones y los usuarios, ya que no necesitan modifiacr o instalar software adicional.
Como contrapunto, la tecnología SMLI no es capaz de evitar los ataques más sofisticados enmascarados a nivel de aplicación, como desboradamientos de buffer o comandos de aplicación ilegales o inseguros.
No hay comentarios:
Publicar un comentario