(2)
La utilización de "proxies" para diferentes servicios impide el acceso directo a servicios de
la red interna, protegiendo a la organización contra computadores internos mal
configurados ó no seguros.
(3)
La autentificación fuerte de usuario puede ser obligada por los cortafuegos del nivel de
aplicación.
(4)
Los "proxies" pueden proporcionar registro (ó "logging") detallado en el nivel de aplicación.
Los cortafuegos del nivel de aplicación deberían configurarse de modo que el tráfico de red
externo (fuera del perímetro de seguridad) aparezca como si el tráfico lo originó el
cortafuegos (es decir, sólo el cortafuegos está visible para las redes externas). De esta
forma, no está permitido el acceso directo a los servicios de red de la red interna. Todas las
peticiones entrantes para los diferentes servicios de red como telnet, ftp, http, rlogin, etc.
sin tener en cuenta qué computador de la red interna es el destino final, deben ir a través
del "proxy" apropiado del cortafuegos.
Los cortafuegos del nivel de aplicación requieren que se soporte un "proxy" para cada servicio,
por ejemplo ftp, http, etc.. Cuando un servicio se requiere que no esté soportado por un "proxy",
la organización posee tres alternativas:
(1)
Denegar el servicio hasta que el fabricante del cortafuegos desarrolle un "proxy seguro".
Esta es la alternativa preferida cuando los nuevos servicios Internet introducidos poseen
vulnerabilidades no aceptables.
(2)
Desarrollar un "proxy a medida". Esta opción es una tarea bastante difícil y sólo debería
emprenderse por organizaciones técnicas sofisticadas.
(3)
Pasar el servicio a través del cortafuegos. Utilizando lo que se denomina normalmente
"plugs", la mayoría de cortafuegos del nivel de aplicación permiten que los servicios se
pasen directamente a través del cortafuegos con sólo un mínimo de filtrado de paquetes.
Esto puede limitar algunas de las vulnerabilidades pero puede comprometer la seguridad
de los sistemas detrás del cortafuegos.
Cuando un servicio Internet interno (dentro de la frontera de seguridad) no está soportado por
un "proxy" se requiere pasar a través del cortafuegos, el administrador del cortafuegos debe
definir la configuración ó "plug" que permita el servicio pedido. Cuando está disponible un
"proxy" del fabricante del cortafuegos, el "plug" se inhabilitará y el "proxy" se hará operativo.
Todos los servicios Internet internos (de dentro del perímetro de seguridad) deben ser
procesados por software "proxy" del cortafuegos. Si se pide un nuevo servicio, este no se
estará disponible hasta que se disponga de un "proxy" del fabricante del cortafuegos y sea
verificado por el administrador del cortafuegos. Se puede desarrollar un "proxy a medida" por la
propia organización ó por otros fabricantes y sólo se podrá utilizar cuando sea aprobado por el
responsable de seguridad de información.
3.3.- Cortafuegos Híbridos:
Combinan los tipos de cortafuegos anteriores y los implementan en serie en vez de en paralelo.
Si se conectan en serie, se mejora la seguridad total. Si se conectan en paralelo, entonces el
perímetro de seguridad de red sólo ser tan seguro como el menos seguro de los métodos
utilizados. En entornos de medio a elevado riesgo un cortafuegos híbrido puede ser la elección
ideal de cortafuegos.
3.4.- Otros Cortafuegos:
3.4.1.- Cortafuegos para intranets:
