Como proteger las Aplicaciones Web de los ataques del exterior.

Nota 6: actualizada el 15/06/2001

Anotación: Con la aparición de aplicaciones Web para el desarrollo de los negocios en Internet se ha abierto un amplio mercado para las empresas que apuestan por Internet, pero al mismo tiempo es una puerta para la entrada de intrusos a las redes privadas de las empresas. Para evitar esta amenaza se han ideado soluciones que van desde un cortafuegos, hasta complejos perímetros de seguridad (conocidos por las siglas inglesas DMZ).

Cortafuegos

Cortafuegos, según la definición defirewall [enciclo] , es un sistema diseñado para prevenir el acceso no autorizado desde o hacia una red privada. Los cortafuegos pueden ser hard o soft o, lo que es más corriente, una combinación de ambos.

Todos los mensajes que entren o salgan de la red privada pasan a través del cortafuegos, el cual examina cada mensaje y bloquea aquéllos que no coincidan con los criterios de seguridad especificados.

Pero si tenemos una aplicacion Web para negocios electrónicos en línea no es suficiente, hace falta definir un área de seguridad, una DMZ.

DMZ (Zona Desmilitarizada)

En la red de ordenadores, una DMZ (Zona Desmilitarizada) es un ordenador o una pequeña red insertada como una "zona neutral" entre la red privada de la compañia y la red pública exterior (Internet). Previene que los usuarios externos tengan acceso directo a los ordenadores que contienen los datos de la empresa. (El término viene del área geográfica que se delimitó como zona desmilitarizada entre Corea del Norte y Corea del Sur al finalizar la guerra a principios de 1950, -personalmente prefiriria el término de Zona de Recepción, es menos militarista, o cuando menos Perímetro de Seguridad que es como lo define Cisco- [cisco] ) .

Una DMZ es opcional, pero es una más segura que un simple cortafuegos y puede actuar como un servidor proxy (es decir, la posibilidad de que varios usuarios accedan al exterior por la misma línea).

Configuración Simple de la DMZ

Una típica configuración de una DMZ simple [Emprea] , puede ser un ordenador o una red independiente, los usarios internos se conectarán al area pública (Internet) a traves del servidor DMZ y los usuarios de la red pública externa a la compañia solo podra acceder al servidor DMZ.

Así, mientras para el exterior el servidor DMZ será una barrera, para el interior hará funciones de intermediario (proxy) entre la red interna y la red externa (Internet).

En una pequeña empresa, el ordenador que realiza las funciones de DMZ recibe las peticiones provenientes de los usuarios de la red interna para acceder a las páginas Web o a otras empresas accesibles desde la red pública. Entonces, el servidor DMZ inicia sesiones para estas peticiones en la red pública. Cuando recibe los paquetes de datos los reexpedirá a la red interna.

Como desde la red pública solamente se accede a la DMZ, el servidor DMZ puede realizar funciones de servidor de páginas Web, como el servidor DMZ no está habilitado para conectarse (iniciar sesiones) a ordenadores de la red interna tiene impedido el acceso a cualquier otra información de la empresa. Asi, incluso en el caso de que un extraño se introduzca en el servidor DMZ, saltando el sistema de seguridad, sólo podrá corromper las páginas Web, pero no los datos de la empresa.

Configuración DMZ con accesos a Datos Corporativos

El impedir el acceso a los datos de la empresa no es valido en el caso del comercio electrónico donde las aplicaciones web realizan consultas y actualizaciones de los stocks en línea [Conner] .

Como la DMZ ha de acceder a la red interior, es necesario colocar dos cortafuegos, uno entre la DMZ y la red exterior y otro entre la DMZ y la red interior.

El primero separa el servidor de páginas Web situado dentro de la DMZ de la red exterior (Internet), permitiendo sólo el acceso a unos específicos protocolos de Internet, generalmente HTTP y HTTPS, (son los que permite la petición y envío de páginas Web). Esto sería suficiente, a no ser que alguien envíe (malévolamente e intencionadamente), a través de estos protocolos, peticiones a los ordenadores de la red interior.

El segundo cortafuegos sería necesario porque es posible que alguien del exterior, sobrepasando el primer cortafuegos, acceda a la red interna que generalmente tiene un nivel de seguridad más bajo, ya que parte de la premisa de que se encuentra en un entorno seguro.

El segundo cortafuegos está configurado para que el servidor Web de la DMZ utilice para la conexión con la red interna ciertos protocolos no permitidos en el primer cortafuegos, así es mucho más difícil que un extraño acceda a los datos internos de la red.

DMZ en un entorno de arquitectura de multicapa

Ya hemos visto como funciona una DMZ conectada con los datos internos de la empresa. Ahora veamos donde colocamos cada unos de los componentes de las aplicaciones Web diseñadas bajo el criterio de la arquitectura multicapa.

Con este muevo modelo y como bien se expone en el artículo de [BrownCook] (que lo centra en Java), desglosamos la parte servidor en 3 grandes componentes:

El Servidor de páginas Web, la capa de lógica de presentación y la capa con la lógica de negocio, cada uno de estos componentes pueden estar en uno o varios ordenadores e incluso formar pequeñas redes.

La capa de lógica de presentación está formada por Servlets, JSP y HTML, es decir , programas Java que generan páginas web dinámicamente.

La capa con la lógica de negocio está formada por los javabeans o EJB, ósea, programas Java que acceden a los datos de la empresa y contienen las reglas de negocio.

La pregunta que surge es si hay que colocar los tres componentes dentro de la DMZ o si alguno de ellos ha de estar en el red interna de la empresa.

Sin duda, el servidor de páginas Web está dentro la DMZ, si estimamos que la capa de presentación es la menos valiosa también podemos insertarla en la DMZ, quedando la capa de negocio en la red interna.

Otra posibilidad es que la capa de negocio y presentación estén en un mismo ordenador, ya sea dentro o fuera de la DMZ, en función del grado de riesgo que implica el exponer en público el código fuente o el código objeto del software.

También deberemos de considerar que por cada cortafuegos que coloquemos implica un incremento en el tiempo de espera de un 20% por cortafuegos (dependiendo de la tecnología del cortafuegos).

Como se ve para definir la DMZ hay que buscar una solución de compromiso que contemple dos requerimientos contrapuestos: seguridad y tiempo de respuesta.

Emprea: Emprea Datas

http://www.datas.com/technology.html

Empresa de servicios de red, en una página explicativa de los componentes y tecnologias de Internet como tcp/ip, router (enrutador), java, firewall (cortafuegos), Proxy, javascript, cgi, etc.

BrownCook: What's it going to take to get you to go with EJB components?

http://www-4.ibm.com/software/developer/library/ibm-ejb/...

Firmado por: Kyle Brown y Lee Cook

Fecha del documento / revisión enlace: 05/2000

Hay una explicación de cómo afecta la DMZ al servidor java.

Conner: Patterns for e-business: Application design

http://www-4.ibm.com/software/developer/library/patterns/design/index.html

Firmado por: Michael H.Conner

cisco: Building a Perimeter Security Solution with the Cisco Secure Integrated Software

http://www.cisco.com/warp/public/cc/pd/iosw/ioft/iofwft/tech/firew_wp.htm

Cisco, el líder en enrutadores, es una compañia que vende productos diseñados para la creación de DMZ

enciclo: Webopedia

http://webopedia.internet.com/TERM/f/firewall.html

http://webopedia.internet.com

En la red hay varias enciclopedias de términos informáticos, ésta, además de la descripción de los términos, posee una lista de enlaces comentados. Como puedes ver es muy útil

Por favor, da tu opinión?