Transcription
CAPITULO IV4FIREWALLS4.1Introducción4.2Objetivos de los firewalls4.3Beneficios de un firewall4.4Limitaciones de un firewall4.5Firewalls de software y hardware4.5.1Firewalls de software4.5.2Firewalls de hardware4.6Clases de firewalls por tipos4.6.1Basados en filtrado de paquetes4.6.1.1Beneficios del filtrado de paquetes4.6.1.2Limitaciones del filtrado de paquetes4.6.2Basados en proxies4.6.2.1.Como funcionan los servicios proxy4.6.2.2.Beneficios de los proxies4.6.2.3Limitaciones de los proxies4.6.3Con transparencia4.7Arquitecturas de firewalls4.7.1Arquitectura de anfitrión con doble acceso4.7.2Arquitectura de anfitrión de protección4.7.3Arquitectura de subred de protección4.8Aspectos básicos para el diseño de un firewall4.8.1Postura sobre la política del firewall4.8.2Política interna de seguridad4.8.3Costo del firewall4.8.4Componentes de un firewall4.9Instalación y administración de un firewall4.10Mantenimiento del firewall4.10.1Mantenimiento4.10.2Monitoreo del sistema4.10.3Actualización
Metodología para el desarrollo de firewalls de softwareCAPITULO IV4. FIREWALLS4.1INTRODUCCIÓNLa seguridad ha sido el principal tema a tratar cuando unaorganización desea conectar su red privada al Internet. Sin tomaren cuenta el tipo de negocios, se ha incrementado el número deusuarios de redes privadas por la demanda del acceso a losservicios de Internet tal es el caso del World Wide Web (WWW),Internet Mail (e-mail), Telnet y File Transfer Protocol (FTP),adicionalmente los corporativos buscan las ventajas que ofrecenlas páginas en el WWW y los servidores FTP de acceso público enel Internet.Los administradores de red tienen que incrementar todo loconcerniente a la seguridad de sus sistemas, debido a que seexpone la organización privada de sus datos así como lainfraestructura de su red a los Expertos de Internet (InternetCrakers). Para superar estos temores y proveer el nivel deprotección requerida, la organización necesita seguir una políticade seguridad para prevenir el acceso no autorizado de usuarios alos recursos propios de la red privada, y protegerse contra laexportación privada de información, aún si una organización noestá conectada al Internet, esta debería establecer una política deseguridad interna para administrar el acceso de usuarios aporciones de red y proteger sensitivamente la información secreta.Un Firewall en Internet es un sistema o grupo de sistemas queimpone una política de seguridad entre una organización privadaRené Báez - Patricia Mina216
Metodología para el desarrollo de firewalls de softwarey el Internet; el firewall determina cuales servicios de red puedenser accesados por usuarios externos, es decir quien puedeingresar y utilizar los recursos de red pertenecientes a laorganización.Para que un firewall sea efectivo, todo tráfico de informaciónhacia el Internet, deberá pasar a través del cortafuego y esteautorizará o denegará el flujo de información; el firewall podrá serinmune a la penetración, pero desafortunadamente, este sistemano pude ofrecer protección alguna una vez que el agresor superela protección.Cliente conprivilegiosCliente sinprivilegiosFig. 4.01 FirewallEsto es importante, ya que se debe notar que un firewall deInternet no es justamente un ruteador, un servidor de defensa ouna combinación de elementos que proveen seguridad para lared, el firewall es parte de una política de seguridad completa quecrea un perímetro de defensa diseñada para proteger las áincluirpublicaciones con las guías de ayuda donde se informe a losRené Báez - Patricia Mina217
Metodología para el desarrollo de firewalls de softwareusuarios de sus responsabilidades, normas de acceso a la red,política de servicios en la red, política de autenticidad en accesoremoto o local a usuarios propios de la red, normas de dialup,reglas de encriptación de datos y discos, normas de protección devirus y entrenamiento; todos los puntos potenciales de ataque enla red podrán ser protegidos con el mismo nivel de seguridad. Unfirewall de Internet sin una política de seguridad comprensiva escomo poner una puerta de acero en una tienda.4.2OBJETIVOS DE LOS FIREWALLSLos firewalls son diseñados para alcanzar diferentes objetivos deseguridad, entre estos se pueden mencionar los siguientes:1. Restringir la entrada a usuarios a puntos cuidadosamentecontrolados.2. Ser un punto de decisiones de seguridad, porque todo el tráficopasa a través de un único punto de chequeo.3. Exigir políticas de seguridad, debido a que controla queservicios están habilitados para el uso de los clientes de la red.4. Registrar la actividad en Internet, ya que provee una buenaforma de recolectar las actividades que pasan entre la redinterna e internet.5. Limitar la exposición de la red interna protegiendo una secciónde la red de la organización.6. Reducir los costos que pueden implicar la implantación de otrotipo de medidas de seguridad.René Báez - Patricia Mina218
Metodología para el desarrollo de firewalls de software7. Proteger de amenazas conocidas, debido a que estas siempreestán presentes y en muchos casos ocasionan problemasdifíciles de controlar.4.3BENEFICIOS DE UN FIREWALLLos firewalls en Internet administran los accesos posibles delInternet a la red privada. Sin un firewall, cada uno de losservidores propios del sistema se exponen al ataque de otrosservidores en el Internet, esto significa que la seguridad en la redprivada depende de la "Dureza" con que cada uno de losservidores cuenta y es únicamente seguro tanto como laseguridad en la fragilidad posible del sistema.El firewall permite al administrador de la red definir un "chokepoint" (embudo), manteniendo al margen los usuarios noautorizados (tales como: hackers, crakers, vándalos, y espías)fuera de la red, prohibiendo potencialmente la entrada o salida alvulnerar los servicios de la red, y proporcionar la protección paravarios tipos de ataques posibles.Uno de los beneficios clave de un firewall en Internet es queayuda a simplificar los trabajos de administración, una vez que seconsolida la seguridad en el sistema firewall, es mejor quedistribuirla en cada uno de los servidores que integran la redprivada.El firewall ofrece un punto donde la seguridad puede sermonitoreada y si aparece alguna actividad sospechosa estegenerara una alarma ante la posibilidad de que ocurra un ataqueo suceda algún problema en el tránsito de los datos. Esto sepodrá notar al acceder la organización al Internet, la preguntageneral es "si" pero "cuando" ocurrirá el ataque, esto esRené Báez - Patricia Mina219
Metodología para el desarrollo de firewalls de softwareextremadamente importante para que el administrador audite ylleve una bitácora del tráfico significativo a través del firewall.Si el administrador de la red se toma el tiempo necesario pararesponder una alarma y examina regularmente los registros debase, se tendrá la seguridad de que se evitará un ataque o por lomenos se sabrá el momento exacto en que un intruso ingresó a lared y se logrará disminuir los terribles daños, que en último casopodrían causar a la organización.Concentra la seguridadCentraliza los accesosGenera alarmas de seguridadTraduce direcciones NATMonitorea y registra el uso deservicios WWW y FTPFig. 4.02 Que hace un firewallCon el paso de algunos años, el Internet ha experimentado unacrisis en las direcciones, logrando que el direccionamiento IP seamenos generoso en los recursos que proporciona. Por este mediose organizan las compañías conectadas al Internet, debido a esto,hoy no es posible obtener suficientes registros de direcciones IPpara responder a la población de usuarios en demanda de losservicios. Un firewall es un lugar lógico para desplegar unTraductor de Direcciones de Red (NAT) esto puede ayudaraliviando el espacio de direccionamiento, acortando y eliminandolo necesario para re-enumerar cuando la organización cambie delProveedor de Servicios de Internet (ISPs) .René Báez - Patricia Mina220
Metodología para el desarrollo de firewalls de softwareUn firewall de Internet es el punto perfecto para auditar oregistrar el uso del Internet, esto permite al administrador de redjustificar el gasto que implica la conexión al Internet, localizandocon precisión los cuellos de botella potenciales del ancho debanda, y promueve el método de cargo a los departamentosdentro del modelo de finanzas de la organización.Un firewall de Internet ofrece un punto de reunión para laorganización, si una de sus metas es proporcionar y entregarservicios información a consumidores, el firewall de Internet esideal para desplegar servidores WWW y FTP.Finalmente, el firewall puede presentar los problemas que generaun punto de falla simple, enfatizando, si este punto de falla sepresenta en la conexión al Internet, aun así la red interna de laorganización puede seguir operando,únicamente el acceso alInternet esta perdido .La preocupación principal del administrador de red, son losmúltiples accesos al Internet que se pueden registrar con unmonitor y un firewall en cada punto de acceso que posee laorganización hacia el Internet. Estos dos puntos de accesosignifican dos puntos potenciales de ataque a la red interna quetendrán que ser monitoreados regularmente.4.4LIMITACIONES DE UN FIREWALLUn firewall no puede protegerse contra aquellos ataques que seefectúen fuera de su punto de operación.Por ejemplo, si existe una conexión dial-up sin restricciones quepermita la entrada a la red protegida, el usuario puede hacer unaconexión SLIP o PPP al Internet. Los usuarios con sentido comúnsuelen "irritarse" cuando se solicita una autenticación adicionalRené Báez - Patricia Mina221
Metodología para el desarrollo de firewalls de softwarerequerida por un Firewall Proxy, lo cual se puede ser provocadopor un sistema de seguridad circunvecino que está incluido enuna conexión directa SLIP o PPP del ISP.Este tipo de conexiones debilitan la seguridad provista por elfirewall construido cuidadosamente para proteger la red interna,los usuarios pueden estar consientes de que este tipo deconexiones no son permitidas como parte de integral de laarquitectura de la seguridad en la organización.Fig. 4.03 Que no hace un firewallEl firewall no puede protegerse de las amenazas a que estásometido por traidores o usuarios inconscientes. El firewall nopuede prohibir que los traidores o espías corporativos copiendatos sensitivos en disquettes o tarjetas PCMCIA y substraiganestas del edificio.El firewall no puede proteger contra los ataques de la "IngenieríaSocial", por ejemplo un Hacker que pretende ser un supervisor oun nuevo empleado despistado, persuade al menos sofisticado delos usuarios a que le permita usar su contraseña al servidor delcorporativo o que le permita el acceso "temporal" a la red.René Báez - Patricia Mina222
Metodología para el desarrollo de firewalls de softwarePara controlar estas situaciones, los empleados deberían sereducados acerca de los varios ataques de tipo social que eriódicamente.El firewall no puede protegerse contra los ataques posibles a lared interna por virus informativos a través de archivos y softwareobtenidos del Internet, por sistemas operativos al momento decomprimir o descomprimir archivos binarios, el firewall deInternet no puede contar con un sistema preciso de SCAN paracada tipo de virus que se puedan presentar en los archivos quepasan a través de él.La solución real está en que la organización debe ser consciente einstalar software antivirus en cada equipo para protegerse de losvirus que llegan por medio de disquettes o cualquier otra fuente.Finalmente, el firewall de Internet no puede protegerse contra losataques posibles en la transferencia de datos, estos ocurrencuando aparentemente datos inocuos son enviados o copiados aun servidor interno y son ejecutados, despachando un ataque;por ejemplo, una transferencia de datos podría causar que unservidor modificara los archivos relacionados a la seguridadhaciendo más fácil el acceso de un intruso al sistema, eldesempeño de los servidores Proxy en un servidor de defensa esun excelente medio de prohibición a las conexiones directas poragentes externos y reduce las amenazas posibles por los ataquescon transferencia de datos.René Báez - Patricia Mina223
Metodología para el desarrollo de firewalls de software4.5FIREWALLS DE SOFTWARE Y HARDWAREComo se mencionó anteriormente un firewall puede proteger lared interna de los peligros que se presentan el momento mplementan básicamente de dos maneras que son:4.5.1 Firewalls de software4.5.2 Firewalls de hardware4.5.1Firewalls de softwareSoftware del firewallque se instala en elservidorClientes de la redinterna que solicitanconexión a InternetInternetFig. 4.04 Firewall de softwareUn firewall de software es un simple programa que se carga en uncomputador y su función principal es interceptar todas lasconexiones de red, tanto de entrada como de salida.René Báez - Patricia Mina224
Metodología para el desarrollo de firewalls de softwareLos firewalls de software en ciertas ocasiones son simples eneralmente se instala como cualquier otra aplicación estándarque existe en el mercado hoy en día; obviamente esto depende delfirewall que se vaya a instalar, pues existen algunos programasque son bastante complicados tanto para instalar como paraconfigurar y poner en funcionamiento el firewall.Este tipo de aplicaciones generalmente son específicas para unaversión de sistema operativo, lo cual los hace muy limitados, puesen el caso de desear en algún momento cambiarse de plataformadebido a los cambios de la tecnología, es complicado adquirir unanueva versión del programa para el sistema actual, debido a quelas organizaciones encargadas del desarrollo de aplicaciones deeste tipo pueden haber salido del mercado, lo cual obliga acambiarse de producto, y sería necesario un nuevo aprendizajedel administrador para que adapte la nueva herramienta a lasnecesidades institucionales.En algunas ocasiones si no se instala un firewall para red, esnecesario instalar un firewall en cada una de las máquinas que sedesea proteger, lo cual resulta muy costoso y además senecesitará trabajo adicional por parte del administrador tantopara la instalación como para el mantenimiento del programa.Esta clase de software consume disco, memoria y recursos deCPU para su correcto funcionamiento, lo cual disminuye elrendimiento del computador en el cual se ejecuta el programa.René Báez - Patricia Mina225
Metodología para el desarrollo de firewalls de software4.5.2 Firewalls de hardwareFig. 4.05 Firewall de hardwareUn firewall de hardware es una pieza de hardware dedicada, lacual se ubica específicamente entre la conexión a internet y la redprivada.Esta clase de equipos proveen servicios adicionales como lementarse a través de software.Para su instalación no requieren de cambios en ningúncomputador de la red, no hay necesidad de preocuparse elmomento que se decide cambiar de sistema operativo o actualizaruna versión existente, no se realizan cambios cuando se añade oelimina software o hardware, no hay variaciones en el firewallcuando aparecen nuevos virus u otro tipo de software maliciosoque ataca las redes y que no es función del firewall el detectarlos.Este tipo de firewall es muy seguro pero tiene varias desventajascomo el costo, pues suelen ser demasiado costosos y muy pocasveces están al alcance de cualquier persona, en este caso ltaconveniente una inversión tan costosa a cambio de obtener mayorseguridad para la red interna.René Báez - Patricia Mina226
Metodología para el desarrollo de firewalls de software4.6CLASES DE FIREWALLS POR TIPOSBásicamente se conocen tres clases de firewalls:4.6.1 Basados en filtrado de paquetes4.6.2 Basados en proxies4.6.3 Con transparenciaCada uno de estos tipos utiliza un método diferente para protegerla red, a continuación se detalla el funcionamiento de estos tresdiferentes tipos.4.6.1Basados en filtrado de paquetesEl filtrado de paquetes es un mecanismo de seguridad de la redque funciona controlando que información puede fluir de y haciauna red. Un firewall basado en filtrado de paquetes examina lasdirecciones de los paquetes para determinar si el paquete debepasar a la red local o se debe impedir el acceso.Un paquete es la información que viaja a través del medio físico yque contiene la información a transmitir, la dirección IP del hostemisor y la dirección IP del host receptor; los firewalls de este tipoutilizan esta información almacenada en los paquetes paracontrolar su acceso.Los paquetes de datos transmitidos hacia Internet, pasarán através de numerosos ruteadores a lo largo del camino, cada unode los cuales toma la decisión de hacia donde dirigir el trabajo.Los firewalls de filtrado de paquetes toman sus decisionesbasándose en tablas de datos y reglas, por medio de filtros, porejemplo, solo datos de una cierta dirección pueden pasar a travésRené Báez - Patricia Mina227
Metodología para el desarrollo de firewalls de softwaredel firewall, si el firewall puede generar un registro de accesosesto lo convierte en un valioso dispositivo de seguridad.Cliente SMTPTCP 1234192.168.3.4FIREWALLAnaliza las direcciones IP, puertosorigen y destino, del cliente y delservidorServidor SMPTTCP 25172.16.1.1Fig. 4.06 Filtrado de paquetes SMTP de entradaSi el servidor de Internet solicita información o bien la suministrahacia sistemas de bases de datos distribuidas, entonces estaconexión entre el servidor y la estación de trabajo debería serprotegida.Un firewall filtrador de paquetes, usualmente puede filtrarpaquetes IP con base en algunos o todos los criterios siguientes:René Báez - Patricia Mina228
Metodología para el desarrollo de firewalls de software dirección fuente IP, dirección destino IP, puerto fuente TCP/UDP, y Puerto destino TCP/UDP Fig. 5.01 Pag. 270 El filtrado puede bloquear conexiones desde o a las redes oanfitriones específicos y puede bloquear conexiones a puertosespecíficos. Un sitio podría desear bloquear las conexiones desdeciertas direcciones, tales como desde anfitriones o los sitios queconsideraron hostiles o indignos de confianza. Alternativamente,un sitio puede desear bloquear conexiones desde todos lasdirecciones externas al sitio (con ciertas excepciones, tales comocon SMTP para recibir e-mail).Los servicios tales como telnet usualmente residen en puertosconocidos (puerto 23 para telnet), así si un firewall puedebloquear conexiones TCP o UDP a o desde puertos específicos,entonces el sitio puede hacer llamadas para asegurar los tipos deconexiones para ser hechas a ciertos anfitriones pero no a otros.Por ejemplo, una compañía podría desear bloquear todas lasconexiones de entrada a todos los host a excepción de algunossistemas conexos de firewall, a esos sistemas, quizás solo losservicios específicos serán permitidos, tal como SMTP para unsistema y conexiones telnet o FTP a otro sistema. Con filtradosobre puertos TCP o UDP, esta política puede ser exitosa, en esteestilo de firewall de filtrado de paquetes o un anfitrión concapacidad de filtrado de paquete.Un ejemplo básico de filtrado de paquetes en telnet y SMTPpudiera ser permitir solo ciertas conexiones a una red dedirección 123.4.*.*. Las conexiones telnet serían permitidas a soloun host, 123.4.5.6, los cuales podrían ser una aplicación gatewayen el sitio telnet, y las conexiones SMTP serían permitir a dosRené Báez - Patricia Mina229
Metodología para el desarrollo de firewalls de softwarehosts, 123.4.5.7 y 123.4.5.8, los cuales podrían ser dos sitiosgateway e-mail, el firewall de filtrado de paquetes bloquearácualquier otro servicio y paquete. Este ejemplo muy básico defiltrado de paquete puede volverse más complejo y flexible como elsitio fomente ajustes a las reglas de filtrado.Desdichadamente, los firewalls de filtrado de paquetes no puedenhacer todo, ellos han sido tradicionalmente difíciles de usar en suconfiguración y mantenimiento, esto está cambiando, con losvendedores ya que están poniendo más atención a las interfaces.Las reglas de filtrado de paquetes son inherentemente complejaspara especificar y usualmente no existe facilidad de prueba paraaveriguar la corrección de las reglas (a excepción de la pruebaexhaustiva por hand-see). Además, algunos firewalls no dan lacapacidad para registrar (loggin), así que si las reglas de unfirewall permiten paquetes peligrosos, los paquetes pueden nodetectarse hasta que ocurra una caída del sistema. Los sitios queoptan por usar firewalls de filtrado de paquetes deberán buscaruno que ofrezca registro (loggin) extensivo, una configuraciónsimplificada y alguna forma de prueba de reglas.Las excepciones a las reglas de filtración frecuentemente ormalmente se bloquean, esas excepciones pueden hacer lasreglas de filtración tan complejo como ser inmanejables. Porejemplo, es relativamente directo la especificación de una reglapara bloquear todas las conexiones encaminadas al puerto 23 (elservicio telnet), pero algunos sitios hacen excepciones para queciertos sistemas especificados puedan aceptar conexiones telnetdirectamente, para hacer esto el administrador debe agregar unaregla para cada sistema algunos sistemas de filtración depaquetes adjuntan la importancia a la orden secuencial de lasreglas de filtrado, permitiendo al administrador poner unaRené Báez - Patricia Mina230
Metodología para el desarrollo de firewalls de softwareexcepción de permisos al sistema específico, seguido por unanegación para todos los demás sistemas, la adición de ciertasreglas puede complicar el sistema entero de filtración. Algunosfirewalls de filtración de paquetes no filtra en los puertos fuenteTCP/UDP, el cual puede hacer el filtrado más complejo elconjunto de reglas y puede abrir hoyos en el esquema defiltración.4.6.1.1 Beneficios del filtrado de paquetesEl filtrado de paquetes tiene una serie de ventajas, entre lascuales se pueden mencionar las siguientes:a) Un enrutador de protección puede ayudar a proteger todauna redUna de las ventajas clave del filtrado de paquetes es que en égicamente puede ayudar a proteger toda una red. Si sólohay un enrutador que conecta toda la red interna, se logra unaenorme ventaja de seguridad de la red, sin importar el tamañode la misma al hacer el filtrado de paquetes en ese enrutador.b) ción del usuarioEl filtrado de paquetes no necesita ningún programa oconfiguración especial de las máquinas cliente, ni necesitaalgún adiestramiento especial o procedimiento por parte de losusuarios, lo ideal es que los usuarios ni siquiera se percaten deque está presente, a menos que intente hacer algo prohibidopor la política de filtrado.René Báez - Patricia Mina231
Metodología para el desarrollo de firewalls de softwareEsta transparencia quiere decir que el filtrado de paquetespuede hacerse sin la cooperación y con frecuencia sin elconocimiento de los usuarios, lo importante es que se puedehacer el filtrado de paquetes sin que ellos necesiten aprenderalgo nuevo para que funcione y sin la necesidad de depender deque ellos hagan (o no) algo para que funcione.c) Muchos enrutadores disponen de filtrado de paquetesLas capacidades de filtrado de paquetes están disponibles enmuchos productos para enrutamiento de hardware y software,comerciales y/o disponibles gratuitamente en Internet. Muchossitios ya cuentan con las capacidades de filtrado de paquetesen los enrutadores que usan.4.6.1.2 Limitaciones del filtrado de paquetesAunque el filtrado de paquetes tiene muchas ventajas, existenalgunas desventajas que se mencionan a continuación:a) Las herramientas para filtrado de paquetes no son perfectasA pesar de la amplia disponibilidad para filtrado de paquetes envarios productos de hardware y software, el filtrado aún no esun arma perfecta. En mayor o menor grado, la capacidad defiltrado de paquetes en muchos de estos productos compartenlimitaciones comunes, entre las cuales se tienen: Definir el filtrado de paquetes puede ser una tarea complejaporque el administrador de redes necesita tener un detalladoestudio de varios servicios de Internet, como los formatos delencabezado de los paquetes, y los valores específicosesperados a encontrase en cada campo.René Báez - Patricia Mina232
Metodología para el desarrollo de firewalls de software Las reglas para filtrado tienden a ser difíciles de configurar,si las necesidades de filtrado son muy complejas, senecesitará soporte adicional con lo cual el conjunto de reglasde filtrado puede empezar a complicar y alargar el sistemahaciendo más difícil su administración y comprensión. Una vez configuradas las reglas para filtrado de paquetestienden a ser difíciles de probar, pudiéndose dejar unalocalidad abierta sin probar su vulnerabilidad. Las capacidades para filtrado de paquetes en muchos de losproductos están incompletas, lo cual hace difícil o imposiblela implementación de ciertos tipos de filtros sumamentedeseables. Los programas para filtrado de paquetes pueden tenerproblemas, lo cuales son más propensos a convertirse enproblemas de seguridad que los errores proxy. Por logeneral, un proxy que falla simplemente deja de pasarinformación, mientras una falla de filtrado de paquetespodría permitir la entrada de paquetes que debieronrechazarse.b) Algunas políticas no pueden aplicarse de inmediato pormedio de enrutadores comunes con filtrado de paquetesLa información de que dispone un enrutador con filtrado depaquetes no permite especificar ciertas reglas que se puedendesear dentro de una organización. Por ejemplo, los paquetesdicen generalmente de que anfitrión viene pero no de queusuario, por eso no se puede aplicar restricciones a usuariosespecíficos. De modo similar, los paquetes muestran hacia quépuerto van pero no hacía que aplicación; cuando se aplicanrestricciones a los protocolos de nivel más alto, lo hace por elRené Báez - Patricia Mina233
Metodología para el desarrollo de firewalls de softwarenúmero de puerto con la esperanza de que ningún otroprograma esté ejecutándose en el puerto asignado a eseprotocolo.4.6.2Basados en proxiesUn Servidor Proxy (algunas veces llamado "gateway" puerta decomunicación), es una aplicación que controla en tráfico que seproduce en la red protegida e Internet. Un servidor proxy es unprograma, que funciona normalmente como un servidor deseguridad y permite que varias máquinas conectadas a unamisma red local puedan compartir un mismo acceso a Internet oconexión a Internet de manera simultánea.Un servidor proxy proporciona a todos los clientes de la red locallos mismos servicios que tendrían disponibles si estuviesenconectados directamente a través de un módem o tarjeta de red.Los servicios proxy son una aplicación especializada o programasdel servidor que se ejecutan en un equipo protegido por unfirewall, dos interfaces de red, una para la red interna y otra parala red externa o algún servidor que sirve como bastión, el cual seencarga de realizar los accesos a Internet y permite el acceso a lasmáquinas de la red local. Estos programas toman las peticionesde los usuarios hacia el Internet (peticiones tales como FTP ytelnet) y las mandan hacia afuera, de acuerdo a las políticas decada sitio. Los proxy proveen regreso a su lugar de origen yactúan como puertas de enlace (gateway) de los servicios, por estarazón, los proxy son también conocidos como puertas de enlacesde nivel de aplicación.La transparencia es el mayor beneficio de los servicios proxy, parael usuario un servidor proxy presenta la ilusión de que estátratando directamente con el servidor real, para el servidor real elRené Báez - Patricia Mina234
Metodología para el desarrollo de firewalls de softwareproxy presenta la ilusión de que éste trata directamente con unusuario que se encuentra dentro de una red privada.El firewall basado en servicios proxy es un programa que tratacon los servidores externos como intermediario por los clientes,los clientes del proxy solicitan dicho servicio a los servidoresproxy y estos le contestan a los clientes con la aprobación orechazo del servicio dependiendo de las políticas del sitio.4.6.2.1 ¿Cómo funcionan los servicios proxy?ServidorProxyClienteServidorRealFig. 4.07 Proxy: realidad e ilusiónComo se muestra en la figura 4.07 un servicio proxy requiere doscomponentes: un cliente y un servidor. En la situación mostrada,el servidor proxy se ejecuta sobre un firewall del tipo "dualhomed". Un cliente proxy es una versión especial de un clientenormal de un programa (por ejemplo de un cliente de FTP o deRené Báez - Patricia Mina235
Metodología para el desarrollo de firewalls de softwaretelnet) que habla con el servidor proxy en lugar de hablar con unservidor real dentro de Internet, los servidores proxy evalúan elrequerimiento de los clientes y definen cual es autorizado y cuales denegado, si el requerimiento es aprobado el servidor proxy seconecta al servidor real y procede a regresar la respuesta alcliente proxy.Un servicio proxy es una solución de software, no es unaarquitectura firewall, por lo cual no es necesario contar con unaarquitectura firewall para poder implementar un servidor proxy,sin embargo, estos son efectivos sólo cuando son usados enconjunto con algún método de restricción de tráfico entre losclientes y los servidores reales, tales como un screening router oun dual-homed host que no rutean paquetes.Los servidores proxy pueden controlar lo que los usuarios hacen,dependiendo de las políticas de seguridad los requerimientospueden ser permitidos o denegadosLos detalles de cómo trabaja proxy difieren de servicio a servicio.Algunos servicios proveen proxy fácil o automáticamente, paraesos servicios, un proxy
4.4 Limitaciones de un firewall 4.5 Firewalls de software y hardware 4.5.1 Firewalls de software 4.5.2 Firewalls de hardware 4.6 Clases de firewalls por tipos 4.6.1 Basados en filtrado de paquetes . adicionalmente los corporativos buscan las ventajas que ofrecen las páginas en el WWW y los servidores FTP de acceso público en
![Breve Historia del Tiempo [Stephen Hawking]](/img/66/breve-20historia-20del-20tiempo-20-5bstephen-20hawking-5d.jpg)
