El formato general para las listas extendidas utilizadas en este caso, es:

access-list lista {permit|deny} protocolo {ip|tcp|udp|icmp} fuente máscara_de_fuente destino máscara_de_destino [operador operando]

• La lista es un valor entero entre 100 y 199 y se utiliza para identificar una o más condiciones de permiso y/o de negación. Si se utiliza la palabra permit una correspondencia del paquete y de la condición causará que éste se acepte, y si se utiliza deny se rechaza.
• El protocolo representa el protocolo a filtrar. Notar que puesto que IP encapsula los protocolos IP, TCP, UDP e ICMP, puede utilizarse para igualar cualquiera de éstos.
• La fuente es la dirección IP de la máquina fuente.
• La máscara_de_fuente de 32 bytes no deben confundirse con las máscaras de subred empleadas para subdividir un número de asignación de una red: los bits correspondientes a 1 en la máscara de fuente se ignoran en la comparación, mientras que los correspondientes a 0 se usan en ésta.
• Los valores de destino y máscara_de_destino sirven para igualar la dirección P destinataria, teniendo la máscara destino el mismo significado que la de fuente.

Con los valores de operador y operando se comparan los números de puerto o puntos de acceso a servicio. Estos valores son significativos para TCP y UDP. Los operadores pueden ser: lt (menor que), eq (igual que), gt (mayor que) y neq (diferente de). El operando es el valor decimal del puerto destinatario del protocolo especificado.

1. Pasarelas a nivel de aplicación

1. Descripción

Como hemos visto, los filtros de paquetes son demasiado rígidos, difíciles de configurar y sus capacidades de registro histórico son muy limitadas. Además su funcionamiento de basa en un sistema todo o nada: el acceso a un servicio en o desde una máquina se permite o no, pero no hay un término medio.

El siguiente paso es usar pasarelas a nivel de aplicación (gateway o proxy): en estos sistemas el usuario no accede directamente al servicio sino un sistema intermedio que realiza las comprobaciones pertinentes, anota la transacción, toma una decisión y, si es positiva, actúa de intermediario entre el cliente y el servicio remoto correspondiente, posiblemente controlando la ejecución del protocolo del servicio y tomando notas adicionales.

Para ello se coloca en la máquina puente un tipo especial de servidor (no sólo WWW, sino también de otros servicios, como por ejemplo: FTP, Gopher, Wais…), denominado proxy, que actúa como cliente de los servidores externos a la vez que como servidor de los clientes externos. Así no será necesario que un usuario se conecte a la máquina puente para realizar un FTP al exterior. Simplemente, configurará su cliente de FTP para que emplee el servidor de la máquina puente como proxy. A partir de este momento, creerá establecer conexiones con el exterior, cuando en realidad su cliente FTP se estará conectando con el proxy y pidiéndole que éste establezca una conexión con el exterior para extraer un fichero y luego entregárselo. Es decir, enviará a su apoderado a la Internet externa ya que él no está autorizado a salir. Lo mismo ocurre con un servicio WWW. Un cliente interno podría acceder a un servidor corporativo de la Intranet y, a la vez, ser incapaz de establecer conexiones con el exterior. Si se instala un servidor proxy de WWW en la máquina puente y se configuran los clientes de la Intranet para utilizarlo, estos dirigirán todas sus peticiones HTTP (HyperText Transport Protocol) al proxy que, a su vez, recuperará por ellos la información del exterior y se la devolverá a ellos. El usuario tendrá la sensación de conectarse directamente ya que todo el proceso será, para él, transparente.

De lo anterior, se deduce que la funcionalidad de actuar como proxy es una característica relacionada con la seguridad, no hay que confundir pues esta funcionalidad con la de caché. En efecto, una primera idea que le puede venir a la cabeza es que si los clientes van a consultar a un proxy es probable que varios hagan la misma consulta. Por tanto, no sería mala idea la incorporación de una caché a los servidores proxy. Si un usuario accede al mismo, éste comprueba, en primer lugar, si el objeto buscado se encuentra en su caché y, de ser así, lo devuelve sin necesidad de realizar una conexión con el exterior. De ahí que la mayoría de los proveedores de Internet cuenten con cachés de varios gigas en sus proxys. De esta forma parecen más rápidos ante sus clientes y ahorran ancho de banda. Ambas funciones, la de caché y proxy ya vienen incorporadas dentro de muchos servidores WWW.

Los servicios a proteger más comunes son:

• TELNET. Se hace un login inicial al cortafuegos, durante el cual se puede filtrar por la dirección de origen y destino, proceder de una identificación sólida (por ejemplo mediante tarjetas inteligentes) y a una verificación segura de la identidad (por ejemplo con claves desechables). Si se acepta, el cortafuegos establece una comunicación con el punto de destino y puede opcionalmente traducir las comunicaciones sobre la marcha, utilizando si se desea cifrado. A todo lo largo del proceso, se pueden hacer anotaciones de su evolución.
• FTP. Adicionalmente puede permitir aceptar o denegar comandos concretos de clientes específicos.
• SMTP. Además de establecer sistemas de verificación de identidad del sistema remoto y del remitente de mensajes, permite centralizar todo el correo institucional en una sola máquina, que se encarga después de distribuirlo a cada usuario en su buzón correspondiente. Además, muchos cortafuegos disponen de un servidor de correo especial con mayores niveles de seguridad.
• Otros: X, Gopher, HTTP y NNTP (Network News Transfer Protocol) son otros servicios que resulta deseable poder interceptar, identificando usuarios y aceptando o denegando el acceso en base a criterios refinados.
• Verificación de identidad. Todas las conexiones remotas y en especial las de los módems deberían atravesar un sistema de verificación avanzado en el cortafuegos, pues basta con que una de estas vías de acceso se comprometa para subvertir todo el sistema. El problema es que esto requiere enseñar a los usuarios a manejar sistemas de verificación avanzados.
• Llamadas de entrada/salida. Los módems, líneas RDSI, X-25… son muy útiles para el acceso a la Intranet por parte de los teletrabajadores, que a su vez podrán acceder a sitios de Internet no permitidos dentro de ésta. Es necesario que un cortafuegos controle estas líneas directas verificando la identidad de los usuarios y los patrones de uso.
• Conexión de red remota. Las conexiones vía PPP (Point to Point Protocol) también son un peligro potencial en la medida en que son una vía de entrada, debiendo ser centralizadas y filtradas a través de un cortafuegos que entienda y controle estos protocolos.
• Servicios de información. Son servicios que están abiertos públicamente para proporcionar información (por ejemplo un servidor WWW o FTP anónimo). Para evitar que se conviertan en un peligro puede ser conveniente ponerlos fuera del área protegida por el cortafuegos (con una fuerte política de copias de seguridad) o incorporar su acceso en éste.
• Interacciones remotas. Cuando se necesita que áreas protegidas por el cortafuegos cooperen entre sí, si no se tiene cuidado, las interacciones entre ellas pueden hacer imposible la colaboración o la seguridad:

• Ninguno de los responsables locales debe confiar plenamente en el otro.
• Es conveniente proveer de un mecanismo cómodo y eficiente a los usuarios para acceder a los recursos compartidos si se desea contar con su colaboración y no dañar su capacidad de trabajo.
• Para compatibilizar el acceso a recursos compartidos hay muchas soluciones que deben considerarse con cuidado: usar el mismo tipo de cortafuegos usar un sistemas compatible de control de acceso convertir las comunicaciones a un protocolo común…

Otro tipo de pasarelas a nivel de aplicación además de los servidores proxy o apoderados, son las pasarelas a nivel de circuito. En éstas los paquetes se envían a un proceso a nivel de aplicación de usuario. Las pasarelas a nivel de circuito se dedican a reencaminar conexiones TCP. Cada vez que se tenga que establecer una conexión a través del cortafuegos debe establecerse un circuito TCP hasta éste y tras hacer las comprobaciones pertinentes, el cortafuegos establece un segundo circuito hasta el destino requerido. Entonces, el cortafuegos actúa como un mero cable de conexión entre ambos circuitos, copiando los bytes de uno a otro lado. Las compuertas a nivel de circuito constituyen el método más general y flexible para construir pasarelas a nivel de aplicación.

1. Problemas

Los principales problemas que presentan los cortafuegos basados en dispositivos de filtrado de información a nivel 7 de la torre OSI, son:

• Su problema principal es la pérdida de transparencia: el usuario a menudo debe ser consciente de su existencia y tomar decisiones adicionales para tratar con ellas. En ocasiones puede ser preciso un programa cliente especial, lo cual podría constituir un inconveniente.
• Degradación del rendimiento del cortafuegos. Puesto que el filtrado de información a nivel 3 y 4 es muy sencillo, los encaminadores apantallados suelen ser muy rápidos y transparentes al usuario. En cambio el filtrado a nivel 7, supone un mayor retardo en el análisis de cada paquete. No obstante, el hecho de efectuar el control a este nivel dándole al cortafuegos conocimiento sobre los protocolos de alto nivel que está manejando incrementa mucho la seguridad.

Autor:

Ingeniero de Telecomunicación y Master en Tecnologías de la Información