Clasificación de Firewalls de acuerdo al modo de control de acceso Destacado

Última respuesta jul. 17, 2019 18:24:30 193 2 4 0

Características de un Firewall


El moderno sistema de firewalls no es solo una "barrera de entrada". Los firewalls son los puntos de control de acceso de las redes. 

Todos los flujos de datos que entran y salen de la red deben pasar a través del firewall que sirve como puerta de enlace para la información entrante y saliente. 

Por lo tanto, un firewall no solo protege la seguridad de una intranet en Internet, sino que también protege la seguridad de los hosts en la intranet. 

Todas las computadoras en una zona de seguridad configurada en un firewall se consideran "confiables" y las comunicaciones entre ellas no se ven afectadas por el firewall. 

Sin embargo, las comunicaciones entre redes que están separadas por un firewall deben seguir las políticas configuradas en el firewall.



Los firewalls de red pueden proteger toda la red de manera distribuida. Sus características son las siguientes:


  • Políticas de seguridad centralizadas.

  • Funciones de seguridad diversificadas.

  • Mantenimiento por administradores dedicados.

  • Riesgos de baja seguridad.

  • Configuración de la política complicada.


Los firewalls pueden ser clasificados de acuerdo a los modos de control de acceso y éstos son:


  • Packet filtering firewalls

  • Proxy firewalls

  • Stateful inspection firewalls


Packet Filtering Firewalls


El Packet Filtering Firewall verifica cada paquete en la capa de red y envía o descarta paquetes según las políticas de seguridad configuradas.

El principio básico del firewall de filtrado de paquetes es configurar las ACL para filtrar paquetes de datos según la dirección IP de origen / destino, 

el número de puerto de origen / destino, el identificador de IP y la dirección de transmisión de paquetes en un paquete de datos.


El firewall de filtrado de paquetes es de diseño simple, fácil de implementar y rentable.


122250g46omoobjmbi3ooj.png?Firewall1.PNG


FIG1:  Packet Filtering Firewall



Las desventajas del firewall de filtrado de paquetes son las siguientes:


  • A medida que aumenta la complejidad y la longitud de ACL, el rendimiento del filtrado disminuye exponencialmente.

  • Las reglas de ACL estáticas no pueden cumplir con los requisitos de seguridad dinámica.


  • El filtrado de paquetes no comprueba el estado de la sesión ni analiza los datos, lo que facilita el escape de los atacantes. 

          Por ejemplo, un atacante establece la dirección IP de su host en una dirección IP permitida por un filtro de paquetes. 

          De esta manera, los paquetes del host del atacante pueden pasar fácilmente a través del filtro de paquetes.




Proxy Firewall


El proxy se aplica a la capa de aplicación de la red. El proxy verifica los servicios transmitidos directamente entre la intranet y los usuarios de Internet. 

Una vez que la solicitud pasa la verificación de la política de seguridad, el firewall establece una conexión con el servidor real en nombre del usuario de Internet, 

reenvía la solicitud del usuario de Internet y envía el paquete de respuesta devuelto por el servidor real al usuario de Internet.


El proxy firewall puede controlar completamente el intercambio de información de red y el proceso de la sesión, logrando una alta seguridad.



122420q4m42b04remxmuaz.png?Firewall2.PNG

FIG2: Proxy Firewall


 

Sus desventajas son las siguientes:


  • La implementación del software limita su velocidad de procesamiento. Por lo tanto, el servidor de seguridad proxy es vulnerable a los ataques DoS.


  • Se debe desarrollar un proxy de capa de aplicación para cada protocolo. El período de desarrollo es largo, y la actualización es difícil.




Stateful inspection firewalls


La inspección de estado es una extensión de la tecnología de filtrado de paquetes. Los paquetes se filtran según el estado de la conexión, y 

cada paquete se trata como una unidad independiente y se considera la asociación histórica de paquetes. Todos los flujos de datos basados en conexiones confiables (flujos de datos basados en TCP) 

se procesan en tres fases: solicitud del cliente, respuesta del servidor y respuesta del cliente (protocolo de enlace de tres vías).

Esto indica que cada paquete de datos no existe de forma independiente, pero está estrechamente relacionado con los paquetes anteriores y posteriores.

Sobre la base de la asociación de estado, se desarrolla la tecnología de inspección de estado.




122503pk9k34k8smxm1g2v.png?Firewall3.PNG

FIG3: Stateful inspection firewalls



Los firewalls de inspección de estado tienen las siguientes ventajas:


  • Rendimiento sobresaliente para procesar paquetes subsiguientes: al verificar paquetes de datos basados en ACL, un firewall de inspección de estado registra el estado de conexión de los flujos de datos. 

Los paquetes subsiguientes en los flujos de datos no necesitan ser verificados en base a las ACLs. En su lugar, el firewall verifica los registros de estado de conexión de los paquetes recién recibidos de acuerdo con la tabla de sesión. 

Una vez que se pasa la verificación, el registro de estado de la conexión se actualiza para evitar la verificación repetida de los paquetes de datos con el mismo estado de conexión. 

La secuencia de registros en la tabla de sesión de conexión se puede ajustar según sea necesario, lo cual es diferente de una ACL cuyos registros se organizan en una secuencia fija. 

Por lo tanto, un firewall de inspección de estado puede realizar una búsqueda rápida mediante el uso de algoritmos como un árbol binario o un algoritmo hash, mejorando así la eficiencia de transmisión del sistema.



  • Alta seguridad: la lista de estado de la conexión se gestiona dinámicamente. 

Una vez que se completa una sesión, la entrada de paquete de retorno temporal creada en el firewall se cierra, lo que garantiza la seguridad en tiempo real de la red interna.

Además, el firewall de inspección de estado utiliza tecnología de monitoreo de estado de conexión en tiempo real para identificar factores de estado de conexión, como la respuesta en la tabla de sesión, lo que mejora la seguridad del sistema.







  • x
  • convención:

Moderador Publicado 2019-7-2 09:55:45 Útil(0) Útil(0)
Con la variedad de opciones de configuración en un firewall podemos proteger nuestra red de datos de cualquier ataque que se pudiera presentar. Interesantes temas. Gracias por compartir. Saludos.
  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2020%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.
Moderador Publicado 2019-7-17 18:24:30 Útil(0) Útil(0)
ersbm98, buen día.

Para nuestros miembros de la comunidad Huawei Enterprise, cabe mencionar que con un firewall, estamos protegiendo tan solo un vector de ataque, de los varios vectores de ataque que existen hoy día. Cabe mencionar que las PCs y/o PC que estén dentro de una zona de seguridad en un frewall, necesitarán sí o sí, una solución de seguridad para proteger la PC, debido a que a través de un dispositivo externo que se conecte a dicha PC se puede sufrir un ataque a esta PC y de allí propagarse por toda nuestra red, considerando que los dispositivos que se conectan a nuestra red, son otro vector de ataque. Esto debido a que hay clientes finales que creen que por tener un firewall, sus PCs, no necesitan una solución de seguridad.

Hoy día, con la sofisticación de las amenazas existentes, por ejemplo ransomware, llegado el momento de proteger una red con un firewall, debemos pensar en un firewall de próxima generación, como; los firewall de Huawei de la serie USG6000, para más información de los firewalls de próxima generación, ir al siguiente link: https://e.huawei.com/mx/products ... all-gateway/usg6300 así como concientizar a nuestros clientes finales, que los firewall son dispositivos de uso especifico, en este caso proteger su red. Si tiene un mismo dispositivo, que hace ruteo, switcheo y además la función de firewall, estará más vulnerable de sufrir un a taqué, debido a que estos dispositivos multiusos, por si mismo son inseguros, por las múltiples tareas y/o procesos que realizan, siempre sera mejor como una buena practica, contar con dispositivos de uso específicos en nuestras redes.

Saludos!
  • x
  • convención:

Senior Cybersecurity Engineer

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba