Súbete, que se va el autobús

Recientemente Microsoft decidió unificar su gama de productos de seguridad bajo una denominación común, que es Forefront. Dentro de la suite hay productos para la protección del perímetro, para los servidores de mensajería y colaboración y para la protección más tradicional de servidores y puestos de trabajo. IAG forma, conjuntamente con ISA Server la parte de protección perimetral. Hay que decir que ni la tecnología ni el producto en sí mismo son nuevos. IAG proviene de la adquisición por parte de Microsoft de una compañía israelí, Whale Communications, que llevaba trabajando en ello desde el año 1998 y, por tanto, cuenta con la ventaja de ser una solución evolucionada y madura. Respecto a la tecnología, IAG se enmarca dentro de la categoría de accesos remotos tipo SSL VPN.

Y ¿para qué vale IAG? Pues vale para acceder de manera remota a aplicaciones internas a través de una VPN SSL. Aunque seguramente todos estamos familiarizados con estos conceptos, vamos a aclararlo con un ejemplo. Para ello, imaginemos varios grupos de turistas orientales que están de excursión en Madrid. El hotel de todos estos grupos se encuentra en Plaza de Castilla (esta será su propia red local, por donde pueden transitar libremente), y sus excursiones tienen como destino la zona de Recoletos (red local central) desde donde se distribuirán por el Museo del Prado, la Biblioteca Nacional, el Jardín Botánico...(servicios que oferta la red central). Los turistas se enfrentan a dos retos: el primero, llegar a su destino; el segundo, hacerlo de manera íntegra ya que a lo largo del camino deberán enfrentarse a diferentes amenazas. Cuando los grupos salen a la calle deciden meterse por el carril central de la Castellana, que es el camino que les lleva directamente al Paseo de Recoletos. Sin embargo, un guardia les informa que no pueden transitar por ahí (imposibilidad de enrutar redes privadas a través de una red pública). El segundo de los retos es enfrentarse a los amigos de lo ajeno. Sabemos que los turistas orientales son especialmente ordenados y llevan una bandera que identifica al grupo donde se puede leer de forma clara su procedencia, su destino, el número de componentes del grupo…e incluso cada miembro llega colgada una tarjeta con toda clase de información personal. Cualquiera que entienda la escritura de gurruñitos puede colocarse a su lado y leer esa información (sniffing de red) y buscar su número de autorización de pases de grupo para los museos (password guessing o cracking) . También podría utilizar los datos para meterse en medio del grupo haciéndose pasar por un integrante de la excursión y colarse de forma ilícita en los museos (robo de sesiones, session hijacking, y suplantación de identidad o spoofing), incluso para replicar el grupo por completo e intentar colarse en la zona de Recoletos después de que el grupo original ya haya pasado (ataques de replay).

Resulta que hay una solución que es capaz de solucionar todos los problemas de nuestros amigos. El autobús. Por un lado, resuelve el problema del transporte, ya que el guardia no identifica peatones de manera individual, si no que ve un medio de transporte que tiene autorización para viajar por su propio carril bus (o sea, en vez de transmitir los paquetes originales tal cual, se encapsulan dentro de otro envoltorio, esto es básicamente lo que se conoce como técnicas de tunneling y es la base de una VPN). El tema de la confidencialidad queda resuelto a medias: el autobús recoge a los tripulantes con un finger en el hotel y luego hay un distribuidor en Recoletos para depositar a cada uno en su museo; además, el autobús sólo tiene una etiqueta que indica el origen y el destino del propio autobús (Plaza Castilla-Recoletos, los extremos o terminadores del túnel) de manera que no proporciona ninguna información externa de los viajeros que tiene dentro. Sin embargo, si nos las arreglamos para asomamos a las ventanillas, podemos seguir viendo la información interesante que viaja por dentro, ya que los abanderados y los pasajeros siguen ahí, en su “formato original”. Solución (para esto hicieron uso de un consultor): ¡¡ventanillas tintadas!! (o sea, cifrado de datos. Acabamos de dotar al sistema de confidencialidad e integridad. En el caso que nos ocupa, el algoritmo de cifrado es SSL que es el que se utiliza para acceder a páginas web seguras. La ventaja de este protocolo frente a otros como IPSec es que basta con un navegador de Internet para acceder al portal donde se publican las aplicaciones internas y que no hacen falta requisitos especiales en el usuario, ya que cualquier navegador dispone de soporte SSL).

En fin, no pretendía entrar demasiado en especificaciones técnicas o capacidades detalladas del producto, para lo cual me tenéis aquí a vuestra disposición, si no contar tan sólo por dónde van las tendencias en las tecnologías de acceso externo a aplicaciones y cuál es la solución que Microsoft ha escogido para subirse al autobús del mercado de las SSL VPN.