Arquitecturas de cortafuegos

Anuncio
- Cortafuego de filtrado de paquetes.
- Cortafuego Dual-Homed Host.
- Screened Host.
- Screened Subnet (DMZ).
- Otras arquitecturas
Luis Villalta Márquez
Es un cortafuegos que consiste en filtrar paquetes de red, con
el objetivo de que el router puedo bloquear o permitir la
comunicación mediante las listas de control de acceso (ACL)
en función de las características de la tramas de los
paquetes. Para determinar el filtrado se miran las direcciones
origen y destino, el protocolo, los puertos origen y destino
(en el caso de TCP y UDP), el tipo de mensaje (en el caso de
ICMP) y los interfaces de entrada y salida de la trama en el
router. La desventaja de este cortafuegos es que no dispone
de un sistema de monitorización sofisticado y el
administrador no distingue entre si el router está siendo
atacado o si su seguridad se ha visto comprometida.
Es un cortafuegos que se instala
en un host con dos tarjetas de
red que actúa como router entre
dos redes. Tiene la función de
permitir directamente la
comunicación de una red a (red
privada por ejemplo) a otra red B
(red pública por ejemplo); pero la
comunicación de la red B a la red
A no se permite directamente. El
sistema interno al Firewail puede
comunicarse con el dual-homed
host, y los sistemas fuera de
Firewail también pueden
comunicarse con él, pero los
sistemas no pueden comunicarse
directamente entre ellos. En la
estructura se implementa entre
la red interna y la externa junto a
un host bastión.
Cortafuegos que se
combina con un host
bastión, situado entre la
red externa y el host
bastión situado en la red
interna. El cortafuegos
filtra los paquetes de modo
que el host bastión es el
único sistema accesible
desde la red externa, y se
permite a los host de la red
interna establecer
conexiones con la red
externa de acuerdo con
unas políticas de
seguridad.
Este cortafuegos se realiza
en una estructura DMZ
donde se emplean dos
routers exterior e interior,
entre los router se incluye
el host bastión. El router
exterior bloquea el tráfico
no deseado en ambos
sentidos, por otro lado el
router interior bloquea el
tráfico no deseado tanto
hacia la red DMZ como
hacia la red Interna. De
este modo, para atacar la
red protegida se tendría
que romper la seguridad
de ambos routers.


Una manera de incrementar en gran medida el nivel de seguridad
de la red interna y al mismo tiempo facilitar la administración de
los cortafuegos consiste en emplear un host bastión distinto para
cada protocolo o servicio en lugar de un único host bastión.
Muchas organizaciones no pueden adoptar esta arquitectura
porque presenta el inconveniente de la cantidad de máquinas
necesarias para implementar el cortafuegos. Una alternativa la
constituye el hecho de utilizar un único bastión pero distintos
servidores proxy para cada uno de los servicios ofrecidos.
Otra posible arquitectura se da en el caso en que se divide la red
interna en diferentes subredes, lo cual es especialmente
aplicable en organizaciones que disponen de distintas entidades
separadas. En esta situación es recomendable incrementar los
niveles de seguridad de las zonas más comprometidas situando
cortafuegos internos entre dichas zonas y la red exterior. Aparte
de incrementar la seguridad, los firewalls internos son
especialmente recomendables en zonas de la red desde la que no
se permite a priori la conexión con Internet.
Descargar