Hace ya algunos años se introdujeron nuevas herramientas para asegurar las redes de datos de acuerdo a la evolución de la problemática de seguridad. Entre esas herramientas destacan los firewalls de última generación (NGFW - New Generation Firewall).
Estos firewalls de última generación son sistemas con capacidades que van mucho más allá de la inspección statefull que posibilitaban sus predecesores. Se trata de dispositivos que permiten el monitoreo e inspección de la porción de datos de los paquetes a partir de lo que adquieren capacidad de inspección de protocolos de capa de aplicación, aplicaciones, detección de intrusiones, control de malware, control de archivos en tránsito y filtrado de URLs; incluyendo capacidades de analítica, machine learning y automatización de tareas.
La incorporación de estos nuevos sistemas de firewalling generan en algunos casos confusiones.
La primera confusión y la más evidente es asumir la integración de los NGFW como una simple actualización de hardware lo que lleva a un sub aprovechamiento de las capacidades de estos dispositivos.
Otra confusión frecuente es considerar que las capacidades de filtrado de URL de estos firewalls los convierten en equivalentes de los servidores web proxy. En esta última quiero concentrarme en esta oportunidad.
¿Qué es un web proxy?
Un servidor proxy es un sistema que intermedia en las peticiones de recursos que realiza un cliente hacia un servidor. En este caso se trata de intermediar en la solicitud de un servicio web (http o https) realizada utilizando un cliente web.
Al decir que se “intermedia” en las peticiones lo que se está indicando es que en estos casos la solicitud del servicio no se realiza de modo directo al servidor que aloja los recursos que se desea acceder sino a este intermediario que realizará la petición “en nombre” del cliente, recibirá la respuesta del servidor y luego la reenviará al cliente que realizó la solicitud original.
Analizado la operación desde la perspectiva del modelo OSI se trata de 2 comunicaciones, una entre el cliente y el servidor proxy, otra entre el servidor proxy y el servidor que aloja el recurso web.
El servidor proxy recibe la solicitud del cliente “en nombre” del servidor web destino y negocia un circuito TCP entre el cliente y el servidor proxy, y sobre él el cliente requiere un servicio http o https.
A continuación el servidor proxy envía el requerimiento “en nombre” del cliente hacia el servidor web y negocia un nuevo circuito TCP entre el servidor proxy y el servidor destino sobre el que negociará el servicio http o https requerido si la política implementada en el servidor proxy lo permite.
Esta completa intermediación que realiza el servidor proxy en la comunicación TCP/IP posibilita que en el sistema se implementen políticas de seguridad (bloqueo de sitios web, inspección de malware, análisis de contenidos, etc.) e incluso que se realice almacenamiento de contenidos (cacheo) para responder a múltiples solicitudes de igual contenido.
¿Qué es el filtrado de URL de los NGFW?
Los NGFW son dispositivos que están en capacidad de hacer inspección y análisis completo de los paquetes TCP/IP incluyendo la porción de datos. Para esta tarea utilizan poderosos motores de inspección que son los que permiten detectar amenazas latentes en los encabezados o en el contenido transportado por los paquetes.
Entre las inspecciones que están en capacidad de realizar estos nuevos sistemas está la posibilidad de verificar los diferentes comandos de los protocolos de capa de aplicación; de esta manera pueden, en el caso de solicitudes http, verificar la URL solicitada por un cliente de navegación web.
Por esto, a diferencia de los servidores proxy, un NGFW no intermedia en la comunicación TCP/IP que se establece entre un cliente y un servidor.
Analizado desde la perspectiva del modelo OSI el cliente web realiza la negociación TCP directamente con el servidor destino que aloja los recursos que desea acceder.
Esta negociación TCP atraviesa los motores de inspección del NGFW y es verificada de acuerdo a lo establecido en las políticas de control de acceso; si la solicitud es acorde a lo establecido en esas políticas el firewall permite la negociación y el consecuente establecimiento del circuito TCP entre el cliente y el servidor.
Establecido el circuito TCP el cliente web negociará la sesión http que también será sometida a inspección por el NGFW si así lo determinan las políticas de control de acceso configuradas.
Como parte de esa inspección el firewall puede verificar la URL solicitada por el cliente web para asegurar que esté encuadrada dentro de las políticas de uso aceptable configuradas en el sistema.
Como se desprende de este análisis, si bien aparentemente ambos mecanismos tienen un mismo resultado posible son absolutamente diferentes en cuando a su operación y posibilidades.
En caso de implementarse un servidor proxy la comunicación entre cliente y servidor web no será directa sino siempre intermediada por el proxy a partir de la división de la comunicación TCP/IP en dos comunicaciones diferentes; una entre el cliente web y el servidor proxy, otra entre el servidor proxy y el servidor web.
Cuando se trata de un filtrado de URLs implementado en un NGFW, en cambio, la comunicación entre cliente y servidor web es directa, a través de un único circuito TCP, que será inspeccionado y monitoreado por el firewall según se defina en las políticas de control de acceso del sistema.
Estás invitado a participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/O si preferís redes sociales con mayor control de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking
o seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking
No hay comentarios.:
Publicar un comentario
Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.