Actualmente, existen tres puertas de enlace principales:
Protocol Gateway WNx "
Application Gateway o: JWN
Security Gateway E-Commerce
El único significado común que se conserva es el de ser una puerta de enlace entre dos dominios o sistemas diferentes; la naturaleza de las diferencias a superar determina el tipo de puerta de enlace requerida.
¿Qué es un ¿Puerta de enlace?
Puerta de enlace solía ser un concepto fácil de entender. En los primeros días de Internet, el término puerta de enlace era un símbolo de la red más allá de la LAN. Esta "puerta de enlace" desconocida era y sigue siendo. se utiliza para calcular rutas para reenviar paquetes a partes fuera de la red original, por lo que se consideró la puerta de entrada a Internet. Con el tiempo, los enrutadores dejaron de ser mágicos y la aparición y madurez de las WAN públicas basadas en IP facilitaron el crecimiento de los enrutadores. Ahora la función de enrutamiento también puede ser realizada por hosts y concentradores de conmutación, y la puerta de enlace ya no es un concepto misterioso. Ahora, el enrutador se ha convertido en un dispositivo de red multifuncional que puede dividir la LAN en varios segmentos de red y separarlos. Las LAN privadas están interconectadas para formar Internet, por lo que el enrutador pierde el concepto original de puerta de enlace. Sin embargo, el término "puerta de enlace" todavía se usa y, a menudo, se aplica a muchas funciones diferentes. p>
Actualmente, existen tres puertas de enlace principales:
Protocol Gateway WNx "
Application Gateway o: JWN
Security Gateway E-. Comercio
El único significado común reservado es que, como puerta de enlace entre dos dominios o sistemas diferentes, la naturaleza de las diferencias a superar determina el tipo de puerta de enlace requerida.
1. Puerta de enlace de protocolo
La puerta de enlace de protocolo generalmente realiza la conversión de protocolo entre áreas de red utilizando diferentes protocolos. Este proceso de conversión puede ocurrir en la Capa 2, Capa 3 o entre la Capa 2 y la Capa 3 del modelo de referencia OSI. Sin embargo, hay dos puertas de enlace de protocolo que no proporcionan funciones de conversión: puertas de enlace de seguridad y tuberías. Debido a las diferencias lógicas entre las dos áreas de red interconectadas, una pasarela de seguridad es un intermediario necesario entre dos áreas de red técnicamente similares. Como red de área amplia privada e Internet pública. Este caso especial se analiza en "Puertas de enlace de filtrado combinado" a continuación, centrándose en las puertas de enlace de protocolo que implementan la conversión de protocolo físico.
1. Puerta de enlace Pipeline
Pipeline es una tecnología común para transmitir datos a través de áreas de red incompatibles. Los paquetes de datos se encapsulan en tramas que la red de transporte puede reconocer. Cuando el paquete llega a su destino, el host receptor desempaqueta y descarta la información encapsulada, restaurando el paquete a su formato original.
La tecnología de tuberías solo se puede utilizar para protocolos de capa 3 desde SNA hasta IPv6. Aunque la tecnología de tuberías tiene ventajas para superar ciertas limitaciones de la topología de la red, también tiene desventajas. La naturaleza de la canalización puede ocultar paquetes que no deberían aceptarse. En pocas palabras, la tubería puede atravesar el firewall mediante encapsulación y transmitir los datos que deben filtrarse al área de la red privada.
2. Puertas de enlace dedicadas
Muchas puertas de enlace dedicadas pueden construir puentes entre los sistemas host tradicionales y los sistemas de procesamiento distribuido en rápida evolución.
Se utiliza una puerta de enlace dedicada típica para conectar clientes basados en PC a conmutadores en el borde de la LAN. El convertidor proporciona acceso a sistemas mainframe a través de redes X.25. Sh
Estas puertas de enlace suelen ser placas de circuito económicas de una sola función que deben instalarse en una computadora conectada a una red de área local, lo que las hace muy económicas y fáciles de actualizar. En el ejemplo anterior, la puerta de enlace de función única actualiza los terminales cableados y los servidores de terminales de la era del mainframe a PC y LAN.
3. Puerta de enlace de protocolo de capa 2
La puerta de enlace de protocolo de capa 2 proporciona conversión de LAN a LAN. A menudo se les llama puentes de traducción en lugar de puertas de enlace de protocolo. Esta conversión puede ser necesaria para interconexiones entre LAN que utilizan diferentes tipos de tramas o frecuencias de reloj.
(1) Las LAN compatibles con IEEE802 con diferentes formatos de trama * * * comparten una capa de acceso a medios común, pero sus estructuras de trama y mecanismos de acceso a medios les impiden comunicarse directamente.
Los puentes de traducción utilizan similitudes entre las dos capas (como direcciones MAC) para proporcionar traducción dinámica de diferentes partes de la estructura de la trama para que puedan comunicarse entre sí. Las LAN de primera generación requerían equipos separados para proporcionar puentes de conmutación. Los centros de conmutación multiprotocolo actuales suelen proporcionar redes troncales de gran ancho de banda que pueden servir como puentes de traducción entre diferentes tipos de tramas. La naturaleza detrás de escena del puente de traducción ahora oscurece esta conversión de protocolo, eliminando la necesidad de un dispositivo de traducción separado. Los concentradores de conmutación multifuncionales están inherentemente equipados con la función de una puerta de enlace de conversión de protocolo de Capa 2.
Además de utilizar sólo un dispositivo de Capa 2 (como un puente de conmutación o un concentrador de conmutación multiprotocolo), otra opción es utilizar un dispositivo de Capa 3: un enrutador. Los enrutadores han sido durante mucho tiempo una parte importante de la red troncal de una LAN. Si se utilizan enrutadores para interconectar LAN y WAN, generalmente admiten interfaces LAN estándar. Con la configuración adecuada, los enrutadores pueden convertir fácilmente diferentes tipos de tramas. La desventaja de esta solución es que si se utiliza equipo de tres capas, el enrutador necesita consultar la tabla. Esta es una función de software, mientras que las funciones de los equipos de segunda capa, como conmutadores y concentradores, se implementan en hardware, por lo que. puede correr más rápido.
(2) Diferencia en la velocidad de transmisión
Muchas tecnologías LAN anteriores han mejorado la velocidad de transmisión. Por ejemplo, Ethernet IEEE 802.3 ahora viene en versiones de 10Mbps, 100Mbps y 1bps. Su estructura de trama es la misma, la principal diferencia radica en la capa física y el mecanismo de acceso al medio. Entre las diversas diferencias, la tasa de transferencia es la más obvia. Token Ring también mejora las tasas de transmisión. La velocidad de trabajo de la versión anterior era de 4 Mbps y la velocidad de la versión actual es de 16 Mbps. El FDDI de 100 Mbps se desarrolla directamente a partir de la red Token Ring y generalmente se utiliza como columna vertebral de la red Token Ring. Estas tecnologías LAN con diferentes frecuencias de reloj requieren un mecanismo para proporcionar una interfaz almacenada en búfer entre dos LAN compatibles. Los concentradores de conmutación multiprotocolo y de gran ancho de banda actuales proporcionan un potente backplane que puede amortiguar las diferencias de velocidad. 54438 0494!
2 ¿Qué es una puerta de enlace?
La LAN multiprotocolo actual puede proporcionar almacenamiento en búfer de velocidad interna para diferentes versiones de velocidad de la misma tecnología LAN y también puede proporcionar diferentes compatibilidades con 802. Conversión de tramas de capa 2. Los enrutadores también pueden amortiguar las diferencias de velocidad. Su ventaja sobre los concentradores de conmutación es que la memoria es ampliable. Su memoria almacena en caché los paquetes entrantes y salientes hasta cierto punto para determinar si hay una lista de acceso correspondiente (filtrado) para aplicar y determinar el siguiente salto. Esta memoria también se puede utilizar para almacenar en caché las diferencias de velocidad que pueden existir en diversas topologías de red.
En segundo lugar, la puerta de enlace de aplicaciones
La puerta de enlace de aplicaciones es un sistema que convierte datos entre diferentes formatos de datos. Una puerta de enlace de aplicaciones típica recibe entradas en un formato, las traduce y luego las envía en el nuevo formato. Las interfaces de entrada y salida pueden ser independientes o utilizar la misma conexión de red.
Una aplicación puede tener múltiples puertas de enlace de aplicaciones. Si el correo puede implementar múltiples formatos, es posible que el servidor que proporciona el correo necesite interactuar con servidores de correo de varios formatos, y la única forma de lograr esta función es admitir múltiples interfaces de puerta de enlace.
Las puertas de enlace de aplicaciones también se pueden utilizar para conectar clientes LAN y fuentes de datos externas, proporcionando a los hosts locales conexiones a aplicaciones interactivas remotas. Colocar la lógica de la aplicación y el código de ejecución en la LAN evita las deficiencias del bajo ancho de banda y la alta latencia de la WAN, lo que acorta el tiempo de respuesta del cliente. La puerta de enlace de la aplicación envía una solicitud a la computadora correspondiente para obtener datos y, si es necesario, convierte el formato de datos al formato requerido por el cliente.
Este artículo no describe todas las configuraciones de Application Gateway en detalle, pero estos ejemplos deben resumir las distintas ramas de Application Gateway. A menudo se encuentran en la intersección de datos de la red. Para admitir plenamente este cruce, se requiere una combinación de tecnologías de red que incluyan LAN y WAN. Tice
En tercer lugar, puertas de enlace de seguridad
Las puertas de enlace de seguridad son una interesante fusión de tecnologías que proporcionan capacidades de protección importantes y únicas, que van desde filtrado a nivel de protocolo hasta aplicaciones muy complejas filtrado a nivel de programa. Hay tres tipos principales de firewalls: puertas de enlace de circuitos de filtrado de paquetes y puertas de enlace de aplicaciones.
Nota: Sólo uno de los tres tipos es un filtro, los demás son puertas de enlace. Estos tres mecanismos se utilizan a menudo en combinación. Un filtro es un mecanismo de mapeo que distingue los paquetes legítimos de los paquetes falsificados. Cada método tiene sus propias capacidades y limitaciones y debe evaluarse cuidadosamente en función de las necesidades de seguridad.
1. Filtro de paquetes
El filtrado de paquetes es la forma más básica de mapeo de seguridad. El software de enrutamiento puede establecer permisos según la dirección de origen, la dirección de destino o el número de puerto de un paquete. El filtrado de números de puertos conocidos puede bloquear o permitir protocolos de Internet como FTP y rlogin. Los filtros pueden operar con datos entrantes y/o salientes. La implementación de filtrado en la capa de red significa que el enrutador puede proporcionar capacidades de mapeo seguras para todas las aplicaciones. Como parte residente del enrutador (en un sentido lógico), este filtrado se puede utilizar libremente en cualquier red enrutable, pero no debe malinterpretarse como un filtro único para todos. El filtrado de paquetes tiene muchas debilidades, pero es mejor que nada.
El filtrado de paquetes es difícil de realizar bien, especialmente cuando los requisitos de seguridad no están bien definidos y detallados. Este filtro también se rompe fácilmente. El filtrado de paquetes compara cada paquete y toma una decisión de pasa/falla basándose en una comparación entre la información del encabezado del paquete y la lista de acceso del enrutador. Esta tecnología tiene muchas debilidades potenciales. Primero, depende directamente del administrador del enrutador para compilar el conjunto de permisos correctamente. En este caso, los errores ortográficos pueden ser fatales y crear agujeros en la línea de defensa que pueden romperse sin ninguna habilidad especial. Incluso si un administrador diseña los permisos con precisión, la lógica debe ser perfecta. Aunque diseñar una ruta parece sencillo, desarrollar y mantener una lista larga y compleja de permisos también puede resultar muy engorroso. Los cambios diarios deben entenderse y evaluarse con respecto a los conjuntos de permisos del firewall. Si los servidores recién agregados no están protegidos explícitamente, pueden convertirse en un punto de ruptura.
Con el tiempo, las búsquedas de acceso pueden ralentizar la velocidad de reenvío de su enrutador. Cada vez que un enrutador recibe un paquete, debe determinar la dirección del siguiente salto que el paquete debe pasar para llegar a su destino, lo que inevitablemente va acompañado de otra tarea que consume CPU: verificar la lista de acceso para determinar si tiene permiso para llegar al destino. . Cuanto más larga sea la lista de acceso, más tardará este proceso.
El segundo defecto del filtrado de paquetes es que considera válida la información del encabezado y no puede verificar el origen del paquete. Una persona con conocimientos de redes puede alterar fácilmente la información del encabezado. Esta manipulación a menudo se denomina "suplantación de identidad".
Las debilidades del filtrado de paquetes lo hacen insuficiente para proteger los recursos de su red. Es mejor usarlo junto con otros mecanismos de filtrado más complejos que solo.
2. Link Gateway
Las puertas de enlace a nivel de enlace son ideales para proteger solicitudes de entornos de red privados y seguros. Esta puerta de enlace intercepta solicitudes TCP e incluso algunas solicitudes UDP y luego obtiene la información solicitada en nombre de la fuente de datos. Un servidor proxy recibe una solicitud de información en la World Wide Web y la cumple en nombre de la fuente de datos. En efecto, esta puerta de enlace actúa como una línea que conecta el origen y el destino, pero evita el riesgo de que el origen pase por áreas de red no seguras.
3 ¿Qué es una puerta de enlace?
Este método de proxy de solicitud simplifica la gestión de seguridad de las puertas de enlace perimetrales.
Si el control de acceso se realiza bien, se bloqueará todo el tráfico saliente excepto el servidor proxy. Lo ideal es que el servidor tenga una dirección única y no pertenezca a ningún segmento de la red interna. Esto minimiza absolutamente la cantidad de información que se expone inadvertida y sutilmente en la zona no segura. El mundo exterior sólo puede obtener la dirección de red del servidor proxy, no la dirección de red de cada computadora en red en la zona segura.
3. Puerta de enlace de aplicaciones
La puerta de enlace de aplicaciones es el opuesto más extremo del filtrado de paquetes. El filtrado de paquetes logra una protección universal para todos los datos que pasan a través del equipo de filtrado de paquetes de la capa de red. La puerta de enlace de aplicaciones coloca un software de aplicación altamente especializado en cada host que necesita protección, evitando trampas de filtrado de paquetes y logrando la firmeza de cada host.
Un ejemplo de puerta de enlace de aplicaciones es un escáner de virus, que se ha convertido en uno de los productos básicos en la informática de escritorio. Llama a la memoria al inicio y permanece en segundo plano, monitoreando constantemente los archivos en busca de infecciones por virus conocidos e incluso cambios en los archivos del sistema. Los escáneres de virus están diseñados para proteger a los usuarios del daño potencial de los virus antes de que ocurran daños.
Este nivel de protección no se puede lograr en la capa de red. Necesita examinar el contenido de cada paquete, verificar su origen, determinar su ruta de red correcta y determinar si su contenido es significativo o engañoso. Este proceso puede crear una sobrecarga insoportable y afectar seriamente el rendimiento de la red.
4. Puerta de enlace de filtrado combinado
Una puerta de enlace que utiliza un esquema de filtrado combinado proporciona un control de acceso bastante sólido a través de filtros redundantes y superpuestos, que pueden incluir mecanismos de filtrado a nivel de grupo, enlace y aplicación. . La implementación más común de este tipo de puerta de enlace de seguridad es proteger los puntos de acceso en el borde de un segmento de red privada como un centinela, a menudo llamado puerta de enlace de borde o firewall. Esta importante responsabilidad a menudo requiere múltiples tecnologías de filtrado para proporcionar una defensa adecuada. El siguiente diagrama muestra una puerta de enlace de seguridad que consta de dos componentes: un enrutador y un procesador. Juntos proporcionan protección a nivel de protocolo, enlace y aplicación.
A diferencia de otros tipos de puertas de enlace, esta puerta de enlace dedicada debe proporcionar capacidades de conversión. Como puertas de enlace en el borde de la red, su responsabilidad es controlar los flujos de datos entrantes y salientes. Obviamente, tanto las redes internas como las externas conectadas a esta puerta de enlace utilizan el protocolo IP y no es necesario realizar una conversión de protocolo. El filtrado es lo más importante.
Las razones para proteger su red interna del acceso no autorizado a la red externa son obvias. Las razones para controlar el acceso saliente son menos obvias. En algunos casos es necesario filtrar los datos enviados externamente. Por ejemplo, los servicios de valor agregado basados en la navegación de los usuarios pueden generar una gran cantidad de tráfico WAN. Si no se controlan, pueden afectar fácilmente la capacidad de la red para transportar otras aplicaciones. Por lo tanto, este tipo de datos debe protegerse en su totalidad. en parte.
IP es el protocolo principal de la red y un protocolo abierto diseñado para lograr la comunicación entre segmentos de la red. Ésta es a la vez su principal fortaleza y su mayor debilidad. Proporcionar interconexión entre dos redes IP esencialmente crea una gran red IP, y la tarea de proteger el borde de la red (el firewall) es distinguir los datos legítimos de los fraudulentos.
5. Consideraciones de implementación
Implementar un gateway de seguridad no es una tarea fácil y su éxito depende de la definición de requisitos, un diseño cuidadoso y una implementación perfecta. La primera tarea es establecer reglas integrales y definir compensaciones aceptables basadas en una comprensión profunda de la seguridad y los gastos generales. Estas normas establecen la política de seguridad.
Las políticas de seguridad pueden ser relajadas, estrictas o algo intermedio. En un extremo, la promesa básica de una política de seguridad es permitir el paso de todos los datos, con pocas excepciones, fácilmente manejables y con esas excepciones agregadas explícitamente al sistema de seguridad. Esta estrategia es fácil de implementar y no requiere previsión para garantizar una protección mínima incluso para los jugadores aficionados. El otro extremo es extremadamente estricto. Esta estrategia requiere que se indique claramente que todos los datos que se transferirán están permitidos, lo que requiere un diseño cuidadoso y deliberado. Su costo de mantenimiento es alto, pero tiene un valor intangible para la seguridad de la red. Desde una perspectiva de política de seguridad, ésta es la única solución aceptable. Hay muchas soluciones entre estos dos extremos que compensan la facilidad de implementación, el costo de uso y el mantenimiento.
La compensación correcta requiere una evaluación cuidadosa de los riesgos y costos.