2. Cortalumes: Conceptos Básicos
Cortalumes é o termo que se emprega para referirse a unha
franxa de bosque que se limpa de árbores, vexetación, e calquer
materia inflamable, co fin de crear unha barreira que o lume dun posible
incendio non sexa capaz de atravesar.
Un cortalumes no mundiño das redes de ordenadores é
un dispositivo lóxico que protexe unha rede privada do resto da
rede (pública). Funcionan así:
-
Tomase un ordenador con capacidad de rutar (por exemplo un PC con
LiNUX)
-
Poñenselle dous interfaces (por exemplo interfaces serie, ou ethernet,
ou de paso de testemuña en anel (Token Ring), etc...)
-
Deshabilitaselle o reenvío de paquetes IP (IP forwarding)
-
Conectase unha interfaz a Internet
-
Conectase a outra interfaz a rede que se quere protexer
Ahora hai duas redes distintas que comparten un ordenador. O ordenador
cortalumes, o que de agora en diante chamaremos
"cortalumes",
pode comunicarse tanto coa rede protexida como coa Internet. A rede protexida
non pode comunicarse ca Internet, e a Internet non pode comunicarse coa
rede protexida, dado que deshabilitamos o reenvío IP no único
ordenador que as conecta.
Se se quere chegar a Internet dende a rede protexida, hai que facer
primeiro un telnet ao cortalumes, e acceder a Internet dende él.
Do mesmo modo, para acceder a rede protexida dende a Internet, debese pasar
antes polo cortalumes.
Este é un mecanismo de seguridade excelente contra ataques dende
a Internet. Se alguén quere atacar a rede protexida, primeiro ten
que atravesar o cortalumes. Desta maneira o ataque dividese en duos pasos,
e, polo tanto, dificúltase. Se alguén quere atacar a rede
protexida por métodos máis comúns, como o bombardeo
de emails, ou o nefasto
"Verme de Internet", simplemente non poderá
alcanzarla. Con isto conséguese unha protección excelente.
2.1 Inconvintes dos Cortalumes
O maior problema dos cortalumes é que restrinxen moito o acceso
a Internet dende a rede protexida. Básicamente, reducen o uso da
Internet a que se podría facer dende un terminal. Ter que entrar
no
cortalumes e dende alí realizar todo o acceso a Internet
é unha restricción moi seria. Programas como Netscape,
que requiren unha conexión directa coa Internet, non funcionan dende
detrás dun cortalumes. A solución a todos estes problemas
é un
Servidor Proxy.
2.2 Servidores Proxy
Os servidores proxy son un invento que permite o acceso directo a Internet
dende detrás dun cortalumes. Funcionan abrindo un socket no servidor
e permitindo a comunicación coa Internet ao traveso del. Por exemplo:
se o meu ordenador, drig, estivera dentro da rede protexida e
quixera ver o Web co Netscape, poría un servidor proxy no
cortalumes.
O servidor proxy estaría configurado para facer que as peticións
de conexión do meu ordenador ao porto 80 doutra máquina,
conectarase ao seu porto 1080, e él mesmo establecería
unha conexión co porto 80 da máquina desexada. A
partir de entón reenviaría todos os datos desa conexión
a outra máquina.
Quen usara TIA ou TERM atopouse este concepto antes. Con
estes dous programas pódese redirixir un porto. Un amigo tiña
TIA
configurado para facer que quen se conectara as 192.251.139.21
porto 4024 o fixera ao seu servidor de Web. O servidor proxy funciona
así mais ao revés. Para conectarnos ao porto 80
de calquera, debemos usar o porto 1080 (ou calquer outro que dispuxéramos)
do servidor proxy.
O importante dos servidores proxy é que, ben configurados, son
completamente seguros. Non deixan que ninguén entre a traveso
deles.