Los firewalls pueden ser configurados de diferentes formas, utilizando diferentes componentes, logrando varios niveles de seguridad a diferentes costos de instalación y mantenimiento. Esta decisión dependerá de las necesidades y de la evaluación de costo/beneficio de llevar a cabo tal implementación.
Las tecnologías de filtrado de paquetes y gateways a nivel de circuito y aplicación son los principales componentes de una solución firewall.
El filtrado de paquete permite controlar de forma eficiente y transparente el tráfico de una red. El impacto que produce su introducción en una arquitectura de red es mínimo, ya que no requiere grandes cambios en la configuración de los dispositivos de la red. Ofrecen protección a nivel de transporte y red.
Los gateways a nivel de aplicación y circuitos amplían la protección de los filtros de paquetes ya que tienen conocimiento de los protocolos que trabajan sobre la capa de transporte por lo que pueden implementar mecanismos a un nivel más detallado.
A continuación se presentan las principales arquitecturas de un enfoque perimetral y algunas variaciones de las mismas:
Arquitectura Screening Router
En esta configuración, el firewall consiste de un único router que realiza la función de filtrado de paquetes. Es una de las estrategias más simples de implementar. El router posee dos interfaces de red, una conectada a la red interna y la otra conectada a la red externa. Intercepta todo el tráfico (de entrada y salida) y lo redirige a su destinatario dependiendo de las reglas del filtro.
Los hosts de la red interna se comunican entre sí directamente, mientras que la comunicación entre hosts de la red privada y la red publica está restringido a aquellos paquetes que sean permitidos por el router (según el conjunto de reglas de control que reflejan la política de seguridad).
Es una buena configuración para una primer línea de defensa para un firewall, pero para una solución definitiva. En esta configuración, la seguridad de toda la red depende por completo de las reglas definidas en el router. Si un atacante logra atravesar este sistema, tendrá acceso a toda la red interna. Además, esta estrategia no permite ocultar las direcciones IP de la red interna y las capacidades de monitoreo y registro no son muy buenas
Arquitectura Dual-Homed Host
En esta arquitectura el firewall consiste de un único hosts bastión dual-homed que implementará funciones de filtrado tanto de red como de aplicación. Este sistema posee dos interfaces de red, donde cada interfaz se conecta lógica y físicamente a segmentos de red separados y diferentes. Una interfaz de red se conecta a una red externa, no confiable (como Internet), la otra se conecta a la red privada.
Un principio clave de seguridad de esta arquitectura es no permitir que el tráfico de red desde la red externa sea ruteado directamente a la red interna. El firewall deberá, en todos los casos, actuar como un intermediario. Es por esto que en este sistema, la función de ruteo está deshabilitada por lo que el host aísla las dos redes entre ellas al bloquear todo paquete IP que capture. Los sistemas conectados a cada lado del host no pueden comunicarse directamente sino a través de éste.
La forma de proveer servicios por parte del host bastión puede ser realizada de dos formas
Si los usuarios de la red local poseen cuentas en el host bastión, las mismas le permiten iniciar sesiones (logearse) para poder utilizar los servicios de Internet. Este aspecto presenta un serio riesgo de seguridad ya que la protección depende de que el usuario haya elegido bien su contraseña. Si un usuario externo puede iniciar una sesión, logra tener acceso a la red local completa.
La alternativa es que el host ejecute servicios proxy para cada servicio que se desee permitir, de esta forma el usuario se desliga de la responsabilidad de la seguridad de la red.
Este host puede proveer un alto nivel de control al permitir que los hosts internos deban comunicarse sólo con este host. Es posible que el dual-homed host rechace conexiones en base a los datos que contenga. Aunque se requiere de mucho trabajo para lograr el máximo potencial de esta configuración.
En esta arquitectura, este dispositivo es critico para la seguridad de la red ya que es el único sistema que puede ser accedido (y atacado) desde Internet, por lo que debe poseer un alto nivel de protección a diferencia de un host común de la red interna. Es por esto que a estos host suele llamárseles bastión. Debe instalarse en este host la mínima cantidad necesaria de software para reducir el riesgo de que sea vulnerado.
Implementar servicios proxies ofrece una ventaja sobre el filtrado de paquetes, pero puede no estar disponible para todos que se deseen.
Esta arquitectura es mucho mas segura que la anterior, pero aún si el bastión es traspasado, la red local completa queda sin protección.
Arquitectura Screened Host
La arquitectura Screened Host posee un firewall compuesto por un router para el filtrado de paquetes y un host bastión para el filtrado de conexiones a nivel de circuito y aplicación. La primer línea de protección corresponde al router con filtrado de paquetes, el host bastión se encuentra conectado a la red interna como un host más.
El router está configurado para dirigir todo el trafico proveniente de la red externa al host bastión por lo que es el único que puede ser accedido directamente desde fuera de la red local, por esto, el bastión debe estar altamente protegido. Así mismo, éste último dirige todo el tráfico proveniente de la red interna al router por lo que es el único que puede establecer una conexión con el exterior. Adicionalmente, el bastión solo permite ciertos tipos de conexiones y protocolos.
El router de filtrado de paquetes puede ser configurado de diferentes formas
Permitir que ciertos hosts internos puedan abrir conexiones a Internet para ciertos servicios;
Deshabilitar todas las conexiones desde los hosts internos habilitando solo al host bastión para establecer estas conexiones;
También es posible que algunos paquetes sean dirigidos, por el router, directamente a los hosts internos.
Estos aspectos dependen de la política de seguridad elegida.
Gracias a esta posibilidad, esta arquitectura es mas flexible ya que permite que algunos servicios no soportados por el proxy puedan se dirigidos a los hosts internos directamente por el router.
Ya que el bastión bloquea todo el tráfico entre la red externa y la red local, esta se mantiene oculta para cualquier host externo.
Como en la arquitectura anterior, el bastión administra las conexiones mediante una aplicación proxy. Los hosts de la red local están configurados para dirigir todas las solicitudes al servidor proxy, en el host bastión, para poder comunicarse con la red externa.
Esta arquitectura es más segura ya que agrega una capa de seguridad a la arquitectura anterior: un atacante tiene que pasar primero por el router y luego por el host bastión (por supuesto, esto depende siempre del uso de una política de seguridad correctamente diseñada).
Por otro lado, esta arquitectura presenta una desventaja: si un atacante logra vulnerar al host bastión, podrá tener acceso a toda la red interna.
En el modelo presentado, el host bastión se conecta a la red como otro host más. Es posible configurar a éste host para que se conecte al router y a la red interna por medio de interfaces de red diferentes; de esta forma se crea una división física entre la red interna y el router.
Arquitectura Screened Subnet
El riesgo presente en las arquitecturas anteriores de que el host bastión sea comprometido puede ser reducido configurando una red de perímetro a la cual se conecte el mismo. Esta red suele ser llamada Zona Desmilitarizada.
Para lograr esta arquitectura se introduce un router de filtrado de paquetes entre el host bastión y la red interna, por lo que el host bastión se encontrará entre los dos routers (interno y externo, uno se encuentra entre la red perimetral y la red externa y el otro entre la red perimetral y la red interna) y estará conectado a un segmento de red diferente al que están conectados los hosts de la red privada. Con esta configuración no existe un único punto vulnerable que ponga en riesgo toda la red interna.
Con esta arquitectura se agrega una nueva capa de seguridad a la arquitectura anterior que aísla la red local de Internet. Aislando al host bastión en una red de perímetro, es posible reducir el impacto de que el bastión sea vulnerado por algún ataque.
Si un atacante logra vencer la protección del host bastión, solo podrá acceder a la red perimetral ya que la red interna sigue protegida por el router interno. De esta forma el atacante solo tendrá acceso a la red perimetral, ocultando todo el trafico de la red local.
Esta arquitectura es la más segura de las presentadas hasta ahora ya que la red perimetral soporta aspectos de seguridad a nivel de red y de aplicación y provee un sitio seguro para conectar servidores públicos. Ésta red establece una capa de seguridad adicional, entre la red externa y la red interna protegida. Si un atacante penetra el host bastión de la red perimetral, solo será capaz de ver el tráfico en dicha red. Todo el tráfico en esta red deberá ser desde o hacia el host bastión, o desde y hacia la red externa. Ya que el tráfico de la red interna no pasa por la red perimetral, estará a salvo de ser “escuchado” por un intruso, inclusive si el host bastión es vulnerado.
El router externo ofrece protección contra ataques provenientes de la red externa y administra el acceso de Internet a la red perimetral. De esta forma, protege tanto a la red perimetral como a la red interna.
Fuente: http://www.textoscientificos.com/redes/firewalls-distribuidos/firewalls/convencionales
0 comentarios