Una puerta de enlace a nivel de aplicación ( ALG , también conocida como puerta de enlace de capa de aplicación , puerta de enlace de aplicación , proxy de aplicación o proxy a nivel de aplicación ) es un componente de seguridad que amplía un cortafuegos o NAT empleado en una red móvil . [1] [2] Permite que se conecten filtros transversales NAT personalizados a la puerta de enlace para admitir la traducción de direcciones y puertos para ciertos protocolos de "control/datos" de capa de aplicación como FTP , BitTorrent , SIP , RTSP , transferencia de archivos en aplicaciones de mensajería instantánea . Para que estos protocolos funcionen a través de NAT o un cortafuegos, la aplicación debe conocer una combinación de dirección/número de puerto que permita paquetes entrantes, o el NAT debe monitorear el tráfico de control y abrir asignaciones de puertos ( agujeros de pin de cortafuegos ) dinámicamente según sea necesario. De este modo, los datos de aplicación legítimos pueden pasar a través de los controles de seguridad del cortafuegos o NAT que, de lo contrario, habrían restringido el tráfico por no cumplir con sus criterios de filtro limitados.
Un ALG puede ofrecer las siguientes funciones:
Esta función es posible gracias a la inspección profunda de todos los paquetes que manejan los ALG en una red determinada. Un ALG comprende el protocolo que utilizan las aplicaciones específicas a las que da soporte.
Por ejemplo, para el agente de usuario back-to-back ( B2BUA ) del protocolo de inicio de sesión (SIP) , un ALG puede permitir la travesía del firewall con SIP. Si el firewall tiene su tráfico SIP terminado en un ALG, entonces la responsabilidad de permitir sesiones SIP pasa al ALG en lugar del firewall. Un ALG puede resolver otro gran dolor de cabeza de SIP: la travesía NAT . Básicamente, un NAT con un ALG integrado puede reescribir información dentro de los mensajes SIP y puede mantener enlaces de direcciones hasta que finalice la sesión. Un ALG SIP también manejará SDP en el cuerpo de los mensajes SIP (que se usa ubicuamente en VoIP para configurar puntos finales de medios), ya que SDP también contiene direcciones IP literales y puertos que deben traducirse.
Es común que SIP ALG en algunos equipos interfiera con otras tecnologías que intentan resolver el mismo problema, y varios proveedores recomiendan desactivarlo. [4] [5] [6]
Un ALG es muy similar a un servidor proxy , ya que se ubica entre el cliente y el servidor real, facilitando el intercambio. Parece haber una convención en la industria según la cual un ALG hace su trabajo sin que la aplicación esté configurada para usarlo, interceptando los mensajes. Un proxy, por otro lado, generalmente necesita ser configurado en la aplicación cliente. El cliente entonces es consciente explícitamente del proxy y se conecta a él, en lugar de al servidor real.
El servicio Application Layer Gateway de Microsoft Windows proporciona compatibilidad con complementos de terceros que permiten que los protocolos de red pasen a través del Firewall de Windows y funcionen detrás de él y de la Conexión compartida a Internet . [ cita requerida ] Los complementos de ALG pueden abrir puertos y cambiar datos que están integrados en paquetes, como puertos y direcciones IP . Windows Server 2003 también incluye un complemento FTP de ALG. El complemento FTP de ALG está diseñado para admitir sesiones FTP activas a través del motor NAT en Windows. Para ello, el complemento FTP de ALG redirige todo el tráfico que pasa a través del NAT y que está destinado al puerto 21 (puerto de control FTP) a un puerto de escucha privado en el rango 3000–5000 en el adaptador de bucle invertido de Microsoft . A continuación, el complemento FTP de ALG supervisa/actualiza el tráfico en el canal de control FTP para que el complemento FTP pueda sondear las asignaciones de puertos a través del NAT para los canales de datos FTP.
El marco Netfilter del kernel de Linux , que implementa NAT en Linux, tiene características y módulos para varios ALG de NAT: