Estos términos
aparecen frecuentemente en la literatura de Internet, juntos pero no revueltos.
Aunque a veces resulta complicado saber cuál es la misión de cada uno. Se
trata de servicios que se acompañan, se complementan y, en ocasiones, llegan a
confundirse. Pero el gateway, el proxy y el firewall son piezas fundamentales de
cualquier enlace de Internet.
Probablemente sólo unos pocos internautas, o más bien informáticos, necesitan
conocer a fondo y tratar con el montaje, configuración y mantenimiento de estos
elementos. Pero como aparecen por doquier en la literatura que cualquier buen
internauta lee, resulta conveniente conocer la misión de cada de ellos, ya que
así sabrá a qué atenerse cuando algún programa le pregunta si está
utilizando un proxy, o podrá evaluar si le conviene tener un firewall.
Gateway
El nombre más usual que
aparece en las configuraciones de Internet. Pero con ser el más común, también
es el menos específico. Un gateway es una puerta de enlace entre dos redes
distintas. Esto significa que se usa como puente, también tiene este
significado, entre una red local, LAN, y una extensa, WAN. El significado más
empleado actualmente es para designar al dispositivo hardware software o, más
usualmente, una combinación de ambos, que controla el tráfico entre Internet y
el ordenador o la red local de ordenadores de una empresa.
El dispositivo gateway normalmente está asociado a elementos como routers y
switches, que son los que realmente hacen la conexión física con la red. El
elemento gateway de una red normalmente actúa también como servidor proxy y
firewall.
Firewall
Más conocidos por su
nombre en inglés, firewall, los programas o hardware de cortafuegos cumplen una
misión sencilla, pero esencial: aislar la red interna, la red local o LAN, de
la red externa formada por Internet.
Realmente, los cortafuegos proporcionan aislamiento eficaz para la red interior
realizando dos funciones: por un lado, trasladan todas las direcciones IP
internas a una sola dirección de salida. Por otra, actúan como filtro de
entrada y salida.
Con la primera función se asegura que nadie desde el exterior puede acceder a
recursos de un ordenador perteneciente a la red. Con ello se evita que, por
falta de prudencia o de pericia al configurar un ordenador, un extraño sea
capaz de entrar en la red y/o acceder a recursos, ficheros compartidos o
impresoras de la red.
Con la segunda función es posible configurar de forma selectiva direcciones IP,
así como puertos, que están disponibles para entrada y/o salida de datos.
Gracias a esta función podremos inhibir el acceso a ciertas direcciones, o
impedir que los mensajes provenientes de un determinado servidor lleguen a
nuestra red informática.
Una de las funciones más básicas de un firewall es la de filtrar paquetes. La
parte de filtrado de paquetes examina las direcciones IP (así como los puertos
de E/S) de procedencia y destino de cada paquete, examinando su cabecera.
Mediante una serie de reglas, denominada la lista de control de acceso, el
filtro determina si aceptar o rechazar los paquetes IP individuales.
Las reglas de filtrado permiten restringir los paquetes que provengan o se
dirijan a un determinado puerto o dirección IP. En general, estas reglas se
aplican para cerrar el tráfico hacia ciertos puertos y dejar abiertos sólo los
realmente necesarios para los servicios que se emplean. Así, cerrando el puerto
FTP de salida, puerto 20, se garantiza que ningún internauta externo podrá
descargar (al menos bajo protocolo FTP) programas o datos del interior de la
red.
El filtrado de paquetes es una buena primera línea de defensa y funciona bien a
nivel general, pero no es capaz de evitar un aspecto importante: dejará pasar
cualquier paquete IP que no viole ninguna de sus reglas asignadas. Es decir, que
es un filtro que impide determinadas cosas, las que así se programan, pero deja
pasar TODO el resto. El problema es que no todos los paquetes son lo que
parecen.
En particular, el filtrado de paquetes no impide la llegada y aceptación de
paquetes IP malformados. Hay toda una serie de herramientas conocidas por los
hackers para crear paquetes que aprovechan ciertos fallos de seguridad y
debilidades de los sistemas operativos, clientes de correo y aplicaciones o
protocolos de red. Con estas herramientas se crean paquetes cuya cabecera, el único
elemento que filtra inicialmente un firewall, parece correcta, pero cuyos datos
en el interior presentan algún tipo de error.
Un paquete malformado puede provocar diversos tipos de fallos en un ordenador,
por ejemplo en el servidor de correo, como crear un desbordamiento de buffer, lo
que a su vez produce, en algunos casos, la ejecución del código que va a
continuación. Una forma de introducir directamente código ejecutable en un
ordenador de una manera que evitará que sea analizado y reconocido por, por
ejemplo, los programas de antivirus. Aunque los principales programas y sistemas
operativos son conscientes de este tipo de fallos y han creado parches para
solucionarlos, no todos los usuarios los han instalado, lo que hace que sus
sistemas resulten vulnerables a este tipo de ataques.
Proxy
La etapa siguiente en un cortafuegos es la de servidor proxy. El proxy se
encarga de transformar las direcciones de entrada y salida. El proxy intercepta
las solicitudes hacia el exterior y se encarga de procesarlas utilizando la
dirección del proxy, con lo cual oculta la dirección IP del solicitante real.
A su vez, evalúa los datos devueltos, mirando no sólo la cabecera sino
realmente el bloque de datos.
Esto le permite analizar y determinar si hay un comando correcto, o permitido,
dentro del bloque de datos, y bloquearlo oportunamente. Si los datos son
correctos, según las reglas del proxy, se encarga de crear un nuevo paquete,
insertando los datos y creando la cabecera adecuada para que llegue al
solicitante.
Un servidor proxy tiene generalmente dos conexiones de red: una hacia la red
local y otra hacia el dispositivo, router o similar, que conecta a Internet.
Ningún paquete IP pasa directamente de un adaptador a otro, y todos son
analizados antes de ir de uno a otro.
Protección
En caso de que mantenga una conexión permanente a Internet, un caso cada vez más
frecuente gracias a la tarifa plana y las conexiones ADSL, resulta casi
imperativo colocar un programa de cortafuegos, para aislar convenientemente
nuestro PC del entorno externo.
Como muchos cibernautas han comprobado, tras instalar un programa de este tipo
se detectan decenas de intentos de acceso a nuestro PC. Sobre todo, cuando la
conexión lleva cierto tiempo activa. Algunos provendrán de mecanismos automáticos,
como los robots de búsqueda de Internet, que exploran cualquier página web y
sus enlaces para localizar y clasificar páginas Web. Pero muchos otros son
intentos directos de eventuales asaltantes, explorando las defensas de nuestro
sistema. Tan pronto como encuentren un hueco por donde colarse o modificar
nuestra configuración, obtendrán cierto dominio sobre nuestro ordenador y sus
datos.
Baja un excelente
cortafuegos (freeware) desde Zone
Alarm