Arquitectura de cortafuego

Arquitecturas de cortafuegos
Información sobre la plantilla
Cortafuegos.png
Concepto:Un cortafuego o muro de seguridad, es un sistema que hace cumplir una política de control de acceso entre dos redes.

Arquitecturas de cortafuegos. Un cortafuego o muro de seguridad, es un sistema que hace cumplir una política de control de acceso entre dos redes. Se utiliza para separar, en cuanto a seguridad se refiere, una máquina o subred del resto, protegiéndola así de servicios y protocolos que puedan suponer una amenaza a la seguridad.

Existen varios modelos y arquitecturas de firewall, cuyo empleo está en dependencia de la complejidad e importancia de las redes y los recursos que se deseen proteger, así como del conocimiento necesario para implementar estas configuraciones.

Filtrado de paquetes

Se trata de la arquitectura de cortafuegos más antigua, basada simplemente en aprovechar la capacidad de algunos routers para hacer un encaminamiento selectivo, es decir, para bloquear o permitir el tránsito de paquetes mediante listas de control de acceso en función de ciertas características de las tramas, de forma que el router actúe como pasarela de toda la red. Generalmente estas características para determinar el filtrado son las direcciones IP de origen y destino, el protocolo, los puertos origen y destino y las interfaces de entrada y salida del router.

X1.JPG

En un cortafuegos de filtrado de paquetes los accesos desde la red interna al exterior que no están bloqueados son directos, por lo que esta arquitectura es la más simple de implementar y la más utilizada en organizaciones que no precisan grandes niveles de seguridad. El principal problema es que no disponen de un sistema de monitorización sofisticado, por lo que muchas veces el administrador no puede determinar si el router está siendo atacado o si su seguridad ha sido comprometida. Además, las reglas de filtrado pueden llegar a ser complejas de establecer, y por tanto es difícil comprobar la seguridad, habitualmente sólo se comprueba a través de pruebas directas, con los problemas de seguridad que esto puede implicar.

Dual-homed gateway

Se trata de un host con dos tarjetas de red, cada una de ellas conectada a una red diferente. El sistema ha de ejecutar al menos una aplicación proxy para cada uno de los servicios que se desee pasar a través del cortafuego, y también es necesario deshabilitar la función de enrutamiento. Así, los sistemas externos “verán” al host a través de una de las tarjetas y los internos a través de la otra, pero entre las dos partes no puede existir ningún tipo de tráfico que no pase por el cortafuego. Todo el intercambio de datos entre las redes se ha de realizar a través de servidores proxy situados en el host bastión.

C21.JPG

La ventaja de estos sistemas es su sencillez, pues sólo requieren un ordenador. La desventaja es que sólo soportan servicios mediante proxy y no por filtrado de paquetes, ya que al tener la función de enrutamiento deshabilitada, se fuerza a que el tráfico deba ser tratado por una aplicación en el propio host.

Screened host

En este modelo la conexión entre las dos redes se produce mediante un router configurado para bloquear todo el tráfico entre la red externa y todos los hosts de la red interna, excepto un único bastión, donde se instala todo el software necesario para la implementación del firewall. Esta topología nos permite soportar servicios tanto mediante proxy (en el bastión) como mediante filtro de paquetes (en el router). El problema de esta topología es que no hay nada previsto a nivel de seguridad entre el bastión y el resto de hosts internos, de modo que si un atacante logra entrar en el bastión, puede atacar la red interna, al igual que pueden producirse ataques internos hacia el host bastión.

V3.JPG

Esta arquitectura es un paso más en términos de seguridad de los cortafuegos al combinar un router con un host bastión, el principal nivel de seguridad proviene del filtrado de paquetes, es decir, el router es la primera y más importante línea de defensa. En la máquina bastión, único sistema accesible desde el exterior, se ejecutan los proxies de las aplicaciones, mientras que el router se encarga de filtrar los paquetes que se puedan considerar peligrosos para la seguridad de la red interna, permitiendo únicamente la comunicación con un reducido número de servicios.

Screened subset

En este modelo se sitúa una red entre las dos redes a conectar. A ésta red se le conoce como red perímetro o zona desmilitarizada (DMZ), y se conecta a las otras dos mediante sendos routers. La DMZ añade un nivel de seguridad en las arquitecturas de cortafuegos, de forma que se consiguen reducir los efectos de un ataque exitoso al host bastión. Como la máquina bastión es un objetivo interesante para muchos piratas, la arquitectura DMZ intenta aislarla en una red perimétrica de forma que un intruso que accede a esta máquina no consiga un acceso total a la subred protegida.

G4.JPG

Los routers se configuran, mediante reglas de filtrado, para que tanto los nodos de la red interna como los de la externa, sólo puedan comunicarse con máquinas de la red perímetro. Esto permite a la red interna ser efectivamente invisible a la externa. Si un atacante lograra entrar a alguno de los bastiones de la red perímetro, aún estaría el router interno protegiendo las máquinas de nuestra red privada.

Screened subnet es la arquitectura más segura, pero también la más compleja; se utilizan dos routers, denominados exterior e interior, conectados ambos a la red perimétrica. El router exterior tiene como misión bloquear el tráfico no deseado en ambos sentidos (hacia la red perimétrica y hacia la red externa), mientras que el interior hace lo mismo pero con el tráfico entre la red interna y la perimétrica. De esta forma, un atacante necesitaría romper la seguridad de ambos routers para acceder a la red protegida.

Fuentes

  • “Seguridad en Unix y Redes v2.1”, Antonio Villalón Huerta
  • “Firewalls and Internet Security: Repelling the Wily Hacker, Second Edition,”William R. Cheswick, Steven M. Bellovin, Aviel D. Rubin
  • “Inside Network Perimeter Security”, Stephen Northcutt, Lenny Zeltser, Scott Winters, Karen Kent, Ronald W. Ritchey
  • “Security in Computing” (3ra Edición), Charles P. Pfleeger, Shari Lawrence Pfleeger.