Private Internet Exchange
PIXes elacrónimodePrivateInternet EXchange.
Esta sigla es utilizada por el fabricante tecnológicoCisco,para referirse a sus modelos de equiposCortafuegos(FireWalls).
Se trata de un firewall completamentehardware:a diferencia de otros sistemas cortafuegos, PIX no se ejecuta en una máquinaUnix,sino que incluye unsistema operativoempotrado denominado Finesse que desde espacio deusuariose asemeja más a unenrutadorque a un sistema Unix clásico.
El cortafuegos PIX utiliza unalgoritmode protección denominadoAdaptive Security Algorithm(ASA): a cualquier paqueteinbound(generalmente, los provenientes de redes externas que tienen como origen unaredprotegida) se le aplica este algoritmo antes de dejarles atravesar el firewall, aparte de realizar comprobaciones contra la información de estado de la conexión (PIX esstateful) enmemoria;para ello, a cada interfaz del firewall se le asigna un nivel de seguridad comprendido entre 0 (lainterfazmenos segura, externa) y 100 (la más segura, interna). La filosofía de funcionamiento del Adaptive Security Algorithm se basa en estas reglas:
- Ningún paquete puede atravesar el cortafuegos sin tener conexión y estado.
- Cualquier conexión cuyo origen tiene un nivel de seguridad mayor que el destino (outbound) es permitida si no se prohíbe explícitamente mediante listas de acceso.
- Cualquier conexión que tiene como origen una interfaz o red de menor seguridad que su destino (inbound) es denegada, si no se permite explícitamente mediante listas de acceso.
- Los paquetesICMPson detenidos a no ser que se habilite su tráfico explícitamente.
- Cualquier intento de violación de las reglas anteriores es detenido, y un mensaje de alerta es enviado asyslog.
- Cuando a una interfaz del cortafuegos llega un paquete proveniente de una red con menor nivel de seguridad que su destino, el firewall le aplica eladaptive security algorithmpara verificar que se trata de una trama válida, y en caso de que lo sea comprobar si del host origen se ha establecido una conexión con anterioridad; si no había una conexión previa, el firewall PIX crea una nueva entrada en su tabla de estados en la que se incluyen los datos necesarios para identificar a la conexión.
El cortafuegos PIX puede resultar muy complejo de gestionar, especialmente a los que provienen del mundo Unix, ya que como hemos dicho se asemeja más a un enrutador que a unservidorcon cualquier flavour de Unix; es por tanto recomendable consultar bibliografía adicional antes de trabajar con estos equipos. Una buena referencia puede ser [JF01], así como la documentación sobre el producto que está disponible a través de la web de Cisco Systems (http://www.cisco.com/).
