Firewalls, Routers y Proxys

Publicado el 17 de Noviembre, 2001

Información general sobre el funcionamiento e incorporación de Firewalls, Routers y Proxys dentro de redes de computación.

Este texto sólo intenta ser una ayuda para que cualquier usuario comprenda unos conceptos que hoy en día se perfilan como imprescindibles en una red.

Antes, debemos familiarizarnos y entender varios términos, a partir de los cuales nuestra compresión de este tema se verá mejorada.

Paquete: Cantidad mínima de datos que se transmiten en una red o entre dispositivos. Tiene estructura y longitud variable según el protocolo utilizado.

Puerto: Es un número que identifica a una aplicación que interviene o va a intervenir en una comunicación bajo TCP.

Socket: Es la combinación de la IP de la máquina y del número de puerto utilizado por el TCP.

TCP: Protocolo de Control de transmisión.

NAT: Network Address translation. Básicamente es un sistema de encapsulación de IP de terminales de LAN en los paquetes enviados.

RDSI: Red Digital de Servicios Integrados (ISDN).

LAN: Red de Área Local.

WAN: Red de Área Extensa, como por ejemplo Internet.

Gateway: Ordenador ú Dispositivo que conecta redes diferentes en protocolo.

OSI: Interconexión de Sistemas abiertos. Modelo de referencia de Interconexión de Sistemas Abiertos propuesto por la ISO. Divide las tareas de la red en 7 capas.

Router: Elemento Hardware que trabaja a nivel de red y entre otras cosas se utiliza para conectar una LAN a una WAN. Un Router (enrutador) asigna el encabezado del paquete a una ubicación de una LAN y elige la mejor ruta de acceso para el paquete, con lo que optimiza el rendimiento de la red.

Línea Dedicada: Una línea de alta capacidad (Suele ser una línea telefónica) dedicada a las conexiones de red.

MRouter: Router que soporta protocolos MultiCasting.

MultiCasting: Técnica de transmisión de datos a través de internet, en la que se envían paquetes desde un punto a varios simultáneamente.

Máscara de Subred: Un parámetro de configuración de TCP/IP que extrae la configuración de red y de host a partir de una dirección IP. Este valor de 32 bits permite que el destinatario de los paquetes IP distinga, en la dirección IP, la parte de Id. de red (nombre de dominio) y el Id. del host (Nombre de host).

Dirección IP: Una dirección única que identifica a un equipo en una red mediante una dirección de 32 bits que es única en toda la red TCP/IP. Las direcciones IP se suelen representar en notación decimal con puntos, que representan cada octeto (8 bits o 1 byte) de una dirección IP como su valor decimal y separa cada octeto con un punto; por ejemplo, 209.40.101.7.

Nombre de Dominio: El nombre de equipo que substituye a una dirección IP de red. Por ejemplo, www.maestrosdelweb.com en vez de la dirección IP 209.40.101.7. También se llama Nombre descriptivo.

Nombre del Host: El nombre dado a un equipo que forma parte de un dominio y que se utiliza para autenticar a los clientes. También se denomina Nombre de equipo.

Protocolo: El software que permite que los equipos se comuniquen a través de una red. El protocolo de Internet es TCP/IP.

Firewall: elemento basado en Hardware, Software o en una combinación de ambos, que controla el flujo de datos que entra y sale de una red.

Proxy: Es básicamente un Software equivalente a un Router.

Bien, ya tenemos claros gran parte de los fundamentos, ahora vamos a la práctica: Para nuestros experimentos nos basaremos en esta red montada sobre NT.

Figura 1

Aquí tenemos 3 terminales en una red con un servidor a la cabeza al cuál le hemos implementado un Firewall y un Router. Ahora vienen todas las preguntas, pero antes hay que decir que cada terminal de esta LAN, incluido el Servidor tiene una dirección IP personal que la va a identificar en la Red y sólo en la red, pero el Firewall tendrá otra que será la que haga posible una identificación con el exterior. Al instalar el Firewall (Cortafuegos) debemos dotar al ordenador servidor con las dos direcciones IP: una para que se puedan conectar los terminales de la LAN a él y otra real de identificación con el exterior.

Figura 2

Pero ¿Qué puede realmente hacer un Firewall…?

Lo primero la organización, es decir, toda la red está sujeta a éste, y la red sólo podrá acceder a los parámetros que el Firewall tenga permitido o posibilite mediante su configuración.

Por ejemplo, si un terminal de la red intenta enviar un paquete a una dirección IP no autorizada, el Firewall rechazará éste envío impidiendo realizar ésta transmisión.

Con el Firewall podemos definir tamaños de paquetes, IP con las que no interesa comunicación, deshabilitación de envíos o recogida de paquetes por determinados puertos, imposibilitar el uso del comando Finger, etc.

¿Cómo es el acceso desde el exterior?

Bien, si el Firewall no valida nuestra IP no podremos conectarlo
con la LAN, aunque cómo la IP podemos falsificarla hoy en día se implementan también Servidores Proxys, ante los cuáles deberemos identificarnos antes, protegiendo así también al Firewall.

Y entonces, ¿Cómo es el acceso desde el interior de la LAN al exterior?

Para el usuario la LAN es transparente, es decir, si desde cualquier estación enviamos un paquete a una IP y el Firewall nos valida el tamaño, IP de destino, puerto, etc (Estos parámetros varían según las necesidades de seguridad cada red, y por tanto del nivel de configuración del Firewall), nosotros no veremos proceso alguno, seria como si no hubiera nada vigilando por nuestra seguridad, aunque si lo hay.

Los Firewalls son complejos, ya no en si mismos, sino en definición.

Hoy en día a un Router que cumpla funciones de Firewall le daremos esta clasificación.

El concepto de seguridad aplicado sería: Filtrar ántes de repartir, mejor que multiplicar por x el trabajo de seguridad en una red.

Formas de implementación de Firewall hay muchas, dependiendo de gustos y necesidades, aunque nosotros nos vamos a centrar en el uso junto a un proxy, siendo posiblemente la formula más utilizada.

Así que, la pregunta: ¿Qué esun Proxy?

Un Proxy es un sistema de software que permite la conexión de una LAN entera al exterior con sólo una dirección IP de salida, es decir, si montamos en el servidor principal de la Red un modem, tarjeta de Red, adaptador RDSI, etc, e instalamos el Proxy (Configurando también las aplicaciones cliente en los terminales), tendremos acceso al exterior de todos y cada uno de los terminales con una sola cuenta de acceso a internet.

Pero, ¿Cómo se consigue
esto?

El fundamento es el siguiente: El terminal #1 tiene, por ejemplo el Netscape abierto, y el usuario le introduce http://www.maestrosdelweb.com en la barra de dirección, ahora el cliente del proxy le pide ésta dirección al Proxy, y éste es el que realmente se encarga de pedir la dirección pero con su IP y no con la del terminal.

Después, cuando tiene lo que le han pedido, se la envía al terminal que lo ha solicitado (el #1) y le aparece al usuario en su navegador exactamente igual que si solo tuviera una conexión con un proveedor de acceso a internet vía módem.

Paso 1

Paso 2

Paso 3

Paso 4

Paso 5

Paso 6

También hay que hacer referencia al cache de que van provistos los Proxy, en el cual buscará las peticiones de los usuarios antes que en el exterior de la Red, para así agilizar las transmisiones.

Aunque por ahora todo son ventajas maravillosas también hay algunos peros, como por ejemplo el tema del ancho de banda de conexión.

Si la conexión principal al exterior es de x Kbs, al ir aumentando el número de usuarios también irá bajando el ancho de banda.

Velocidad del Firewall

Sobre configuraciones el tema merece un estudio, es decir, podemos tener un Proxy en una oficina (Seguimos con el ejemplo de la fig. 1 con 3 terminales), para dar el acceso a esos 3 usuarios en donde el caché de éste, sirva para mejorar el ancho de banda disponible en la red (Si el terminal 1 pide la página de http://www.maestrosdelweb.com/ y por ejemplo, el terminal 2 la estuvo viendo hace 1 semana, el Proxy la tendrá en el caché, que será de donde la coja, no disminuyendo el ancho de banda de la Red pidiendo algo al exterior que ya tiene), pero también existen los servidores Proxy ” basados en Hardware “.

Antes de explicar los fundamentos de estos servidores tengo que hacer una aclaración:

Cuando se dice que algo “está basado” no quiere decir que sea, es decir, basado no tiene por que implicar sintaxis o definición, solo una forma de hablar.

Esto viene por los fundamentos de los Servidores Proxy basados en Hardware; en éstos lo único que se hace es montar muchos discos duros de gran capacidad (Esto si es físico) y del orden de 128 Megas de Ram (Variable según necesidades, como todo claro).

Pues bien, éstas unidades solo tienen una función, que es la de almacenar datos en zonas intermedias o en sitios con gran flujo de peticiones para agilizar la transmisión de datos.

Para una mejor comprensión su nombre podría ser mirror aunque no exactamente.

Seguro que alguno os habéis bajado algo de Microsoft, por ejemplo, y no precisamente de sus servidores en Usa, sino de algún Mirror en otro país, que puede o no puede ser un ser Proxy, y esto es lo más bonito.

Si te fijas en la siguiente figura podrás comprender mejor lo que intento explicar:

Ejemplo de Conexión

Tú te conectas con Microsoft España para bajarte el Internet Explorer 5.0; pués ya Microsoft España se considera un Mirror de Microsoft Usa pués te va a ofrecer algo que también hay en Usa pero seguro que aquí con menos tráfico.

Pero lo más seguro es que al tu pedírselo a Microsoft España, éste traslade tu petición a uno de sus Proxy caché. Y por último tenemos los Routers. Perdóne?

Los Routers (Encaminadores) se sitúan entre dos redes y a la vez que encaminan los paquetes entre una red y otra buscando los recorridos más “rápidos” o más precisos, realizan o pueden realizar un filtrado de paquetes (Por eso también le podríamos llamar Firewall, porque están haciendo ese trabajo), comprobando las IP y los puertos (Cada paquete lleva una franja de información en la cuál se incluyen las IP de salida y destino y el puerto)

El Router no es solo un elemento físico para conectar una LAN a una internet (WAN), sino que es una muy buena opción a la hora de ampliar una LAN.

Los Routers traen de fábrica ciertas I.P que se filtrarían automáticamente, aparte de las que nosotros le podremos asignar más adelante con las que no nos interesaría tener contacto por peligrosidad u otros.

Hay Routers (Lo último de lo último) que soportan el uso de NAT (Encapsulación de la IP interna en cada paquete enviado)

Conclusiones: Ya deberías conocer un poco cómo se pueden conectar dos redes, qué es un Proxy, un Router, etc, aunque bastante por encima.

Si te estás preguntando como trasladar esto a tu realidad, es decir, un Pc normal con ventanucos, Linux o algún otro, te recomiendo que te bajes el Pc Conseal Firewall (Un cortafuegos para Pc) y lo instales, que empieces a jugar con la configuración del mismo y te des cuenta de lo que pasa al restringir algunos puertos, etc.

Aquí tienes una foto de mi Consola funcionando:

Foto de la consola en funcionamiento

Recuerda que éste texto es global, hay múltiples implementaciones entre Routers, Proxy, Firewalls, etc.

Enlacesde interés

A continuación sitios que pueden ampliar la información:

Software Manufaktur CSM Proxy Es otro Proxy muy bueno
Netscape Proxy Server Orientado a grandes empresas
Mason para Linux Es un Firewall en si, aunque también lo puedes complementar con uno que tengas instalado en forma de plug-in.
Netcaché Proxy Hardware dedicado para NT y Unix. Protocolos HTTP, FTP.
Grupo de Noticias comp.security.firewalls En este grupo de News podréis aclarar muchísimas dudas de configuración, ideal si estáis empezando en esto.
Microsoft Proxy Server Es Microsoft.