El segundo modelo de cortafuegos está formado por simples máquinas Unix
equipadas con dos o más tarjetas de red y denominadas ([SH95])
anfitriones de dos bases (dual-homed hosts) o multibase (multi-homed hosts), y en las que una de las tarjetas se suele conectar a la
red interna a proteger y la otra a la red externa a la organización. En esta
configuración el choke y el bastión coinciden en el mismo equipo: la
máquina Unix.
El sistema ha de ejecutar al menos un servidor proxy para cada
uno de los servicios que deseemos pasar a través del cortafuegos, y también
es necesario que el IP Forwarding esté deshabilitado en el equipo:
aunque una máquina con dos tarjetas puede actuar como un router, para
aislar el tráfico entre la red interna y la externa es necesario que el choke no enrute paquetes entre ellas. Así, los sistemas externos
`verán' al
host a través de una de las tarjetas y los internos a través de la
otra, pero entre las dos partes no puede existir ningún tipo de tráfico que
no pase por el cortafuegos: todo el intercambio de datos entre las
redes se ha de realizar bien a través de servidores proxy situados en
el host bastión o bien permitiendo a los usuarios conectar directamente
al mismo. La segunda de estas aproximaciones es sin duda poco recomendable,
ya que un usuario que consiga aumentar su nivel de privilegios en el sistema
puede romper toda la protección del cortafuegos, por ejemplo reactivando el
IP Forwarding); además - esto ya no relativo a la seguridad sino a la
funcionalidad del sistema - suele ser incómodo para los usuarios tener que
acceder a una máquina que haga de puente entre ellos e Internet. De esta
forma, la ubicación de proxies es lo más recomendable, pero puede ser
problemático el configurar cierto tipo de servicios o protocolos que no se
diseñaron teniendo en cuenta la existencia de un proxy entre los dos
extremos de una conexión.
© 2002 Antonio Villalón Huerta
