Anterior Índice Siguiente

7. Arquitecturas de firewalls

7.1. Cortafuegos de filtrado de paquetes
7.2. Arquitectura Dual-Homed Host
7.3. Screened Host
7.4. Screeened Subnet
7.5. Otras arquitecturas

7.1. Cortafuegos de filtrado de paquetes

El modelo de cortafuegos más antiguo consiste en un dispositivo capaz de filtrar paquetes, lo que se denomina choke. Está basado simplemente en aprovechar la capacidad que tienen algunos routers para bloquear o filtrar paquetes en función de su protocolo, su servicio o su dirección IP.

Esta arquitectura es la más simple de implementar y la más utilizada en organizaciones que no precisan grandes niveles de seguridad, donde el router actúa como de pasarela de la subred y no hay necesidad de utilizar proxies, ya que los accesos desde la red interna al exterior no bloqueados son directos. Resulta recomendable bloquear todos los servicios que no se utilicen desde el exterior, así como el acceso desde máquinas que no sean de confianza hacia la red interna.

Sin embargo, los chokes presentan más desventajas que beneficios para la red protegida, puesto que no disponen de un sistema de monitorización sofisticado y el administrador no distingue entre si el router está siendo atacado o si su seguridad se ha visto comprometida. Por otra parte, las reglas de filtrado pueden llegar a ser complejas de establecer y por lo tanto, se hace difícil comprobar su correción.

7.2. Arquitectura Dual-Homed Host

Este modelo se compone de simples máquinas Unix, denominadas anfitriones de dos bases, equipadas con dos tarjetas de red: una se conecta a la red interna a proteger y la otra a la red externa. De este modo, los sistemas de la red interna se pueden comunicar con el dual-homed host, así como los sistemas del exterior también se pueden comunicar con el dual-homed host; es decir, el tráfico entre la red interna y el exterior está completamente bloqueado. En este caso el choke y el bastión coinciden en el mismo equipo.

Los dual-homed hosts pueden proporcionar un nivel de control muy elevado. Como no se permite el tráfico de paquetes entre la red interna y la externa, un paquete de fuente externa será indicativo de alguna clase de problema de seguridad. Todo el intercambio de datos entre las redes se realiza a través de servidores proxy situados en el host bastión. Para cada uno de los servicios que se deseen pasar a través del firewall, se ha de ejecutar un servidor proxy. También es necesario que esté desabilitado el IP Forwarding para que el choke no encamine paquetes entre las dos redes.

El uso de proxies es mucho menos problemático, pero puede no estar disponible para todos los servicios en los que estemos interesados. La siguiente arquitectura de cortafuegos incorpora opciones extra que permiten proporcionar nuevos servicios.

7.3. Screened Host

En esta arquitectura se combina un screening router con un host bastión y el principal nivel de seguridad proviene del filtrado de paquetes. El screening router está situado entre el host bastion y la red externa, mientras que el host bastión está situado dentro de la red interna.

El filtrado de paquetes en el screening router está configurado de modo que el host bastión es el único sistema de la red interna accesible desde la red externa. Incluso, únicamente se permiten ciertos tipos de conexiones. Cualquier sistema externo que intente acceder a los sistemas internos tendrán que conectar con el host bastión. Por otra parte, el filtrado de paquetes permite al host establecer las conexiones permitidas, de acuerdo con la política de seguridad, a la red externa.

Figura 7.3.1.: Screened Host.

La configuración del filtrado de paquetes en el screening router se puede hacer de dos formas:

- Permitir a otros hosts internos establecer conexiones a hosts de la red exterior para ciertos servicios.
- Denegar todas las conexiones desde los hosts de la red interna , forzando a los hosts a utilizar los servicos proxy a través del host bastion.

Es decir, los servicios se pueden permitir directamente via filtrado de paquetes o indirectamente via proxy, tanto para los usuarios internos como para los usuarios externos.

7.4. Screeened Subnet

La arquitectura Screened Subnet también se conoce con el nombre de red perimétrica o De-Militarized Zone (DMZ). En los modelos anteriores, la seguridad se centraba completamente en el host bastión, de manera que si la seguridad del mismo se veía comprometida, la amenaza se extendía automáticamente al resto de la red. En cambio, en este modelo se añade un nivel de seguridad en las arquitecturas de cortafuegos situando una subred (DMZ) entre las redes externa e interna, de forma que se consigue reducir los efectos de un ataque exitoso al host bastión. La arquitectura DMZ intenta aislar la máquina bastión en una red perimétrica, de forma que si un intruso accede a esta máquina no consigue un acceso total a la subred protegida.

Figura 7.4.1:Screened Subnet.

Se trata de la arquitectura de firewalls más segura, pero también más compleja. En este caso se emplean dos routers, exterior e interior, ambos conectados a la red perimétrica como se observa en la figura 7.4.1. En dicha red perimétrica, que constituye el sistema cortafuegos, se incluye el host bastión. También se podrían incluir sistemas que requieran un acceso controlado, como baterías de módems o el servidor de correo, que serán los únicos elementos visibles desde fuera de la red interna.

La misión del router exterior es bloquear el tráfico no deseado en ambos sentidos, es decir, tanto hacia la red perimétrica como hacia la red externa. En cambio, el router interior bloquea el tráfico no deseado tanto hacia la red perimétrica como hacia la red interna. De este modo, para atacar la red protegida se tendría que romper la seguridad de ambos routers.

En el caso en que se desee obtener un mayor nivel de seguridad, se pueden definir varias redes perimétricas en serie, situando los servicios que requieran de menor fiabilidad en las redes más externas. Un posible atacante tendría que pasar por todas y cada una de las redes perimétricas para llegar a acceder a los equipos de la red interna. Resulta evidente que cada red perimétrica ha de seguir diferentes reglas de filtrado, ya que en caso contrario los niveles adicionales no proporcionarían una mayor seguridad.

Aunque se trata de la arquitectura más segura, también pueden aparecer problemas. Uno de ellos se puede dar cuando se emplea el cortafuegos para que los servicios fiables pasen directamente sin acceder al bastión, lo que puede desencadenar en un incumplimiento de la política de seguridad. Otro problema, es que la mayor parte de la seguridad reside en los routers empleados. Las reglas de filtrado sobre estos elementos pueden ser complicadas de establecer y comprobar, lo que puede desembocar en importantes fallos de seguridad del sistema.

7.5. Otras arquitecturas

Una manera de incrementar en gran medida el nivel de seguridad de la red interna y al mismo tiempo facilitar la administración de los cortafuegos consiste en emplear un host bastión distinto para cada protocolo o servicio en lugar de un único host bastión. Muchas organizaciones no pueden adoptar esta arquitectura porque presenta el inconveniente de la cantidad de máquinas necesarias para implementar el cortafuegos. Una alternativa la constituye el hecho de utilizar un único bastión pero distintos servidores proxy para cada uno de los servicios ofrecidos.

Otra posible arquitectura se da en el caso en que se divide la red intena en diferentes subredes, lo cual es especialmente aplicable en organizaciones que disponen de distintas entidades separadas. En esta situación es recomendable incrementar los niveles de seguridad de las zonas más comprometidas situando cortafuegos internos entre dichas zonas y la red exterior. Aparte de incrementar la seguridad, los firewalls internos son especialmente recomendables en zonas de la red desde la que no se permite a priori la conexión con Internet.

Anterior Índice Siguiente