Background and Challenges

 Las interfaces pueden funcionar en tres modos diferentes:

 Traducción de direcciones de red (NAT).

 Modo de rutas (“Route”).

 Modo transparente (“Transparent”).

Si una interfaz asociada a una zona de capa 3 tiene una dirección IP, es posible definir el modo de funcionamiento para esa interfaz como NAT o como Ruta. Una interfaz asociada a una zona de capa 2 (como lo son las zonas predefinidas v1-trust, v1-untrust y v1-dmz, o una zona de capa 2 definida por el usuario) debe estar en modo transparente. El modo de funcionamiento se selecciona al configurar la interfaz (Cameron, 2004).

1. Modo transparente.

Cuando una interfaz está en modo transparente, el dispositivo de seguridad filtra los paquetes que atraviesan el cortafuegos sin modificar ninguna información de origen ni de destino en el encabezado de los paquetes IP. Todas las interfaces se comportan como si fuesen parte de la misma red, con el dispositivo de seguridad actuando en gran medida como conmutador o puente de capa 2 (“Layer 2”). En el modo transparente, las direcciones IP de las interfaces se establecen en 0.0.0.0, haciendo que el dispositivo de seguridad parezca “transparente” (o “invisible”) a los usuarios.

El modo transparente es un medio muy práctico para proteger servidores web, o cualquier otra clase de servidor que reciba principalmente tráfico de fuentes no fiables. Utilizar el modo transparente tiene las siguientes ventajas: elimina la necesidad de reconfigurar los ajustes IP de los enrutadores y servidores protegidos; y elimina la necesidad de crear direcciones IP asignadas o virtuales para que el tráfico entrante llegue a los servidores protegidos.

CAPÍTULO 2. Funcionalidades del cortafuegos Juniper SSG-20

23

2. Modo NAT.

Cuando una interfaz de entrada está en el modo de traducción de direcciones de red (NAT), el dispositivo de seguridad, actuando como conmutador (o enrutador) de capa 3, traduce dos componentes del encabezado de un paquete IP saliente destinado a la zona Untrust: su dirección IP de origen y el número del puerto de origen. El dispositivo de seguridad reemplaza la dirección IP de origen del host de origen con la dirección IP de la interfaz de la zona Untrust. También reemplaza el número del puerto de origen con otro número de puerto generado aleatoriamente por el dispositivo de seguridad.

Cuando el paquete de respuesta llega al dispositivo de seguridad, éste traduce dos componentes en el encabezado IP del paquete entrante: la dirección y el número de puerto del destino, que se traducen inversamente para obtener los números originales. Entonces, el dispositivo de seguridad redirecciona el paquete a su destino.

NAT agrega un nivel de seguridad no disponible con el modo transparente: las direcciones de los hosts que están enviando tráfico a través de una interfaz de entrada en modo NAT (como lo es una interfaz de la zona Trust) nunca quedan expuestas a hosts en la zona de salida (como lo es la zona Untrust), salvo que ambas zonas se encuentren en el mismo dominio de enrutamiento virtual y que el dispositivo de seguridad esté publicando rutas a interlocutores a través de un protocolo de enrutamiento dinámico (DRP). Incluso entonces, las direcciones de la zona Trust son solamente accesibles si alguna directiva les permite recibir tráfico entrante.

Si el dispositivo de seguridad utiliza el enrutamiento estático y sólo un enrutador virtual, las direcciones internas siguen ocultas cuando el tráfico es saliente, debido a NAT basada en interfaces. Las directivas que se configuren controlan el tráfico entrante. Si solamente se utilizan direcciones IP asignadas (MIP) y direcciones IP virtuales (VIP) como destinos en sus directivas de tráfico entrante, las direcciones internas permanecerán ocultas.

3. Modo de rutas.

Cuando una interfaz está en modo de rutas, el dispositivo de seguridad enruta el tráfico entre diferentes zonas sin realizar la NAT de origen (NAT-src); es decir, la dirección de origen y el número de puerto en el encabezado del paquete IP permanecen sin cambios mientras atraviesan el dispositivo de seguridad. A diferencia de NAT-src, no es necesario

CAPÍTULO 2. Funcionalidades del cortafuegos Juniper SSG-20

24 establecer direcciones IP asignadas (MIP) e IP virtuales (VIP) para permitir que el tráfico entrante llegue a los hosts cuando la interfaz de la zona de destino está en modo de rutas. A diferencia del modo transparente, las interfaces de cada zona se encuentran en subredes diferentes.

No es necesario aplicar la traducción de direcciones de red de origen (“NAT-src”) en el nivel de la interfaz para que todas las direcciones de origen que inician tráfico saliente sean traducidas a la dirección IP de la interfaz de la zona de destino. En lugar de ello, puede aplicarse NAT-src selectivamente a nivel de directivas. Se puede determinar qué tráfico enrutar y a qué tráfico aplicar NAT-src creando las directivas que habilitan NAT-src para las direcciones de origen especificadas tanto en tráfico entrante como saliente. Para el tráfico de red, NAT puede utilizarse la dirección IP (o direcciones IP) de la interfaz de la zona de destino de un rango de IP dinámicas (DIP), que se encuentra en la misma subred que la interfaz de la zona de destino. Para el tráfico VPN, NAT se puede utilizar la dirección IP de una interfaz de túnel o una dirección de su conjunto de DIP asociado (Cameron et al., 2006).