| Artículos | 01 MAR 2005

WFP

Tags: Histórico
(Windows Filtering Platform)
Eugenio Barahona.
Longhorn incluirá un stack de TCP/IP totalmente nuevo, lo que tendrá implicaciones para los fabricantes de software de seguridad.

El impulso que desde hace ya algún tiempo Microsoft está dando a todo lo relacionado con la seguridad de sus productos, y en especial de sus sistemas operativos, ha hecho que se estén volviendo a escribir partes muy importantes de Windows que verán la luz cuando aparezca en el mercado la versión que de momento el público conoce como Longhorn. Este intenso trabajo está teniendo como consecuencia la modificación a fondo tanto del kernel del sistema operativo como de todos los subsistemas que tienen una relación directa con dicho componente. Tanto desde el punto de vista de la seguridad como de la interacción con el kernel, todos los componentes de acceso a red son importantes, aún más hoy en día, ya que la mayoría de las amenazas para la seguridad del sistema acceden al mismo a través de algún tipo de adaptador de red.
Todo el software de seguridad actual para Windows que realiza accesos al tráfico de red del PC lo efectúa mediante la instalación en el sistema de lo que se conoce como driver intermedio de filtro de red. Básicamente se trata de un controlador de dispositivo que se ejecuta en modo kernel (en el anillo cero de la arquitectura x86), y que se comporta al mismo tiempo como un driver de protocolo y un minipuerto de un adaptador de red virtual. Esto se debe a que este tipo de controladores se insertan en el stack de drivers que el sistema operativo usa para acceder a una red, justo por debajo de un driver de protocolo y por encima de un minipuerto que controla el hardware de un determinado adaptador de red. Por lo tanto, la parte del driver intermedio que interactúa con los protocolos de red se comporta como un minipuerto, mientras que la que interactúa con los minipuertos se comporta como un protocolo. Mediante el uso de un driver intermedio que implemente una interfaz privada para proporcionar servicios a una aplicación de modo usuario, es posible crear soluciones que accedan al tráfico de red a nivel de paquetes. Mediante el análisis del contenido de los paquetes de red es posible, por ejemplo, eliminar los que provoquen accesos a sitios web prohibidos o descartar los procedentes del exterior encaminados a comprometer la seguridad de nuestro sistema.
El desarrollo de este tipo de drivers intermedios es complejo, por lo que Microsoft ha creado la arquitectura WFP (Windows Filtering Platform), la cual proporciona una nueva API que los fabricantes de software de seguridad pueden emplear para acceder al tráfico TCP/IP y participar en las operaciones de filtrado de paquetes que efectúe el propio sistema operativo. Las modificaciones necesarias para adaptar el software a esta nueva plataforma variarán dependiendo del sistema empleado por cada fabricante para interceptar el tráfico de red, siendo las más complejas aquellas soluciones basadas en la ingeniería inversa de determinadas partes del sistema operativo, como por ejemplo algunas soluciones comerciales basadas en sustituir por completo el stack de TCP/IP por otro del fabricante del software de seguridad de que se trate.
La arquitectura WFP está formada por la API de Longhorn (que dispondrá de funciones para configurar el motor básico de filtrado), el motor básico de filtrado (un componente que se ejecuta en modo usuario que pasa las peticiones de filtrado al motor genérico de filtrado), el motor genérico de filtrado (un componente que se ejecuta en modo kernel, formando parte del stack de TCP/IP, y que almacena los filtros que las aplicaciones de filtrado crean mediante el motor básico de filtrado) y los módulos de llamada (módulos creados por fabricantes de seguridad que se ejecutan cuando no basta el chequeo que realiza el motor genérico de filtrado). Las aplicaciones de filtrado tan sólo tendrán que usar la API de Longhorn para crear filtros, pero las que requieran una inspección profunda del tráfico de red deberán disponer además de drivers que implementen módulos de llamada.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información