Tabla de contenido
11.2.2.2 La función PS – Servicios de portal
El servicio de portal (PS) es un elemento lógico dotado de funciones de direccionamiento de la red,
gestión y portal de seguridad, que sólo reside en los dispositivos HA. El PS está integrado por los
siguientes elementos:
•
Portal de seguridad de cable (CSP).
•
Barrera contra fuegos (FW).
El CSP se comporta como un portal de seguridad para otros elementos PS. Una de sus funciones
primordiales es efectuar la entrega de los mensajes de seguridad intercambiados entre los servidores
OSS de cabecera (entre ellos el servidor de seguridad) y las aplicaciones IPCablecom. El CSP
presta asimismo servicios de seguridad al elemento PS tales como la autenticación y la gestión de
claves.
Además, el PS incluye la funcionalidad de barrera contra fuegos. La barrera contra fuegos protege
al usuario y la red HFC del tráfico indeseado proveniente de los dominios WAN o LAN. Dicho
tráfico puede contener ataques deliberados contra la red doméstica así como limitaciones de tráfico
para aplicaciones de control paternal.
La especificación de seguridad no describirá detalladamente la implementación de una barrera
contra fuegos, sino que se limitará a definir un conjunto de requisitos que permita la gestión del
operador a distancia.
Las barreras contra fuegos se suelen construir utilizando una combinación de dos elementos
distintos: filtrado de paquetes y servidor apoderado. El módulo de filtrado de paquetes es con toda
seguridad el componente más común de la barrera contra fuegos porque determina las secuencias de
paquetes que han de bloquearse y aquéllas a las que se permite atravesar la barrera contra fuegos.
Las decisiones específicas de rechazo de paquetes se basan en información de configuración
estática que obliga a inspeccionar los campos de cabecera del paquete, especialmente: las
direcciones IP de origen y destino, los números de puerto de protocolo de origen y destino, el tipo
de protocolo, etc. Dependiendo del nivel de seguridad deseado en una barrera contra fuegos, puede
ser necesario configurar un número mayor de filtros, lo que puede revestir cierta complejidad y
exigir un conocimiento profundo del tipo de servicios (protocolos) que han de filtrarse.
Un apoderado específico de la aplicación (ASP, application-specific proxy), otro componente típico
de la barrera contra fuegos, crea un punto extremo del protocolo y su enlace mediante la
implementación de las partes cliente y servidor necesarias de un protocolo cliente-servidor
específico. La utilización de ASP comporta ciertos beneficios de seguridad. Por ejemplo, permite
añadir una lista de control de acceso a los protocolos, requiriendo de los usuarios o de los sistemas
cierto grado de autenticación antes de otorgar el acceso. Por otra parte, al ser específico del
protocolo, el ASP entiende el protocolo y puede configurarse para bloquear exclusivamente ciertas
subsecciones del protocolo. Por ejemplo, un FTP ASP puede configurarse para bloquear el tráfico
procedente de usuarios no autenticados, concediendo a los usuarios autenticados acceso selectivo a
los mandatos "put" y "get", es decir dependiendo de las direcciones desde las que se emiten dichos
mandatos.
La combinación específica de filtros de paquete y de ASP en un producto barrera contra fuegos
determinado constituye un compromiso entre la calidad de funcionamiento y el nivel de seguridad
de la barrera contra fuegos. Al tratarse normalmente de un mecanismo de la capa de red, es
probable que el filtrado de paquetes ofrezca un rendimiento mejor que los ASP por ser éstos
mecanismos de la capa de aplicación. Una solución de compromiso cada vez más utilizada consiste
en la utilización del filtrado dinámico de paquetes (SPF, stateful packet filtering) donde la
información acumulada del estado de los paquetes que pertenecen a la misma conexión se mantiene
y se utiliza en la toma de decisiones de rechazo de paquetes.
118
Rec. UIT-T J.191 (03/2004)
Tabla de contenido
