Firewall en sistemas IT

Pubilicado 2019-1-4 16:50:15 206 0 0 0

Firewall en sistemas IT

El término "firewall" evoca la imagen de una pared sólida en un edificio, lo que evita que un incendio se propague de una parte del edificio a otra. A veces se entiende como un "muro de fuego" que bloquea la entrada.

Arquitecturas de firewall: una mirada a algunos problemas críticos de la plataforma del sistema.

Imagine una LAN como un edificio con su tamaño en proporción al tamaño y la capacidad de la red de computadoras. El edificio tiene sus oficinas (estaciones de trabajo, almacenes y salas de archivo), servidores, pasillos que conectan varios segmentos de edificios, enrutadores, la caseta de vigilancia, la Zona desmilitarizada (DMZ). Al implementar un sistema defensivo para la seguridad del edificio, el diseñador debe planificar el posicionamiento de los cortafuegos por adelantado para que puedan bloquear un incendio y proteger la mayor parte posible de la estructura del edificio. Es obvio que todas las paredes del edificio podrían estar hechas de una tecnología de cortafuegos, pero los costos involucrados se magnificarían desproporcionadamente. Obtener un medio seguro es necesario. Por lo tanto, cuando se considera la implementación de firewall, el diseñador debe abordar la siguiente pregunta: "¿De dónde se originaría una amenaza para mi sistema y por qué razones?" Una vez que se hayan determinado los lugares de origen potencial del incendio, el diseñador puede Intentar hacer un trazado de firewalls. Sin embargo, las similitudes terminan ahí. Se permite que el diseñador de un edificio esté libre del temor de que un empleado descontento pueda provocar un incendio en la oficina usando los muebles, mientras que, por otro lado, el diseñador de firewall tendrá que tomar en consideración tales eventos.

Muchos usuarios dentro de la protección de un Firewall pueden creer que sus sistemas son seguros, ya que el Firewall se encuentra entre la LAN y la red pública. Este es un pensamiento arriesgado; Debido a que los firewalls son solo de seguridad perimetral (incluso aquellos que están equipados con características "verdaderas" de firewall) y una vez que se omiten, ofrecen poca o ninguna seguridad. Un firewall basado en una filosofía de "mejor que nada" corre el riesgo considerable que puede proporcionar una falsa sensación de seguridad. Si está considerando implementar un firewall "verdadero", recuerde que una política de seguridad consistente debe ser descrita por adelantado, y esto no es una preocupación de la metodología de elaboración sino de su esencia. La política de seguridad debe determinar cómo se realizará la comunicación básica en el Firewall, dónde debe estar el Firewall y cómo configurarlo. La política de seguridad también debe definir si se requiere más de un firewall (o tal vez, que un firewall no sería de utilidad) y cuál debería ser el esquema de conectividad. Una vez instalado, un sistema de firewall es un proceso continuo que requiere vigilancia constante, mantenimiento, revisión de registros y respuesta a eventos. La incapacidad de mantener estos requisitos satisfechos, y en ocasiones empeorados por una administración inadecuada o deficiente que debilitaría cualquier protección provista incluso por el mejor cortafuegos, daría lugar a que se convirtiera en nada más que en una caja electrónica que parpadea y murmura, añadiendo el peligro de proporcionar La ilusión de seguridad que puede erosionar aún más la propia red privada.

Los Firewall se implementan normalmente utilizando dos enfoques. La literatura de firewall está llena de teorías que categorizan a los firewalls como basados en hardware y basados en software, pero no hay nada en tal clasificación que sugiera razonablemente un punto de vista jerárquico. En cambio, creo que una clasificación menos discutible y apta será la de utilizar las nociones de un hardware y una plataforma de sistema de firewall dedicado y no dedicado. Un enfoque de implementación de este tipo puede convertirse en un factor importante para elegir una solución de firewall, aunque la decisión misma debe ser tomada directamente por un administrador del sistema o una persona con experiencia que instale el firewall. Un dispositivo imprescindible para cualquier sistema de aplicación de firewall no dedicado es una instalación adecuada del sistema operativo en el que se colocará el firewall. Una "instalación adecuada" significa que el sistema operativo debe estar adecuadamente "endurecido" (es decir, configurado para seguridad) y, especialmente por esta razón, no se puede ejecutar ningún servicio que vaya más allá del mínimo necesario en el sistema operativo. Con plataformas de hardware y software de firewall dedicadas, es muy probable que se vendan con su protección mínima (sin gastos indirectos inútiles) incorporados por el fabricante y listos para encender y configurar. Sin embargo, esto no implica que las soluciones llave en mano sean siempre mejores que las aplicaciones propias no dedicadas, ya que los productos comerciales pueden no estar libres de errores del fabricante y, por lo tanto, más difíciles de depurar con respecto a las herramientas no dedicadas. Entonces, en este caso, la administración del firewall también es un problema crítico porque el administrador del firewall no solo debe saber cómo administrar un firewall, sino también cómo mantenerlo y actualizarlo por seguridad. Otra consideración importante al implementar un firewall es una capacidad reducida de nodos de red clave. Una vez instalado, es decir, en una red privada, un Firewall parece ser una fuente de problemas y preocupaciones constantes con respecto a su correcto funcionamiento. Y sería de hecho, si un firewall ha sido comprado e implementado por razones equivocadas, sin una comprensión de su papel en la infraestructura de una red privada. Una advertencia importante a recordar: no se puede usar cualquier Firewall.

Beneficios y riesgos

Un Firewall se utiliza principalmente para proteger los límites de la red interna de una organización mientras está conectado a otras redes (por ejemplo, a Internet). Un error típico es, como ya mencioné, usar enrutadores perimetrales para realizar esta función. Como mínimo, los enrutadores perimetrales se pueden emplear de dos maneras: sin las reglas de filtrado de paquetes involucradas o mediante el uso de una solución de enrutador de filtrado de IP (probablemente junto con un NAT dinámico) pasando o bloqueando selectivamente paquetes de datos basados en información de puerto o direcciones aceptables Por la política de seguridad. Por supuesto, un firewall siempre debe estar situado junto al enrutador. Algunas soluciones prácticas para esto se ilustran en las Figuras 1 y 2 a continuación.

 


http://www.windowsecurity.com/uplarticle/Miejsce_firewalla_rys1.gif

http://www.windowsecurity.com/uplarticle/Miejsce_firewalla_rys2.gif

 


En estas tareas, un router de perímetro controla el tráfico en el nivel de IP. Creo que este dispositivo debe considerarse la primera (pero no solamente) línea de defensa que protege una red privada. Al implementar el mecanismo de filtrado de paquetes, es una buena idea ejecutar este servicio en enrutadores perimetrales ubicados dentro de redes privadas (que separan dos redes) principalmente para bloquear los paquetes no deseados que acceden a otras LAN. Los criterios utilizados en las reglas de filtrado para determinar la disposición de paquetes (aceptar o rechazar) deben ser coherentes con la política de seguridad específica, no establecida a discreción del administrador del sistema. En cada una de las figuras hay un área aislada llamada DMZ que significa Zona Desmilitarizada. Una DMZ en el sentido de TI es una interfaz que permite al diseñador de la red configurar diferentes reglas de acceso para ambas redes separadas por una DMZ para una mejor seguridad. En segundo lugar, la implicación de una DMZ es clara; Una compensación aceptable involucrada aquí, es que sería preferible tener una máquina que sea un objetivo más "atractivo" pirateado, por ejemplo, el servidor web, que se puede volver a ensamblar en unos minutos, que tenerlo. las estaciones de trabajo o servidores locales que a menudo contienen información estratégica de una empresa hackeada. Sin embargo, existe un inconveniente, que con una solución de este tipo, debido a que presenta una falla esencial, a saber, la falta de separación entre los servidores y las estaciones de trabajo en una red privada, es más probable que ocurran ataques internos o un intruso puede usar un dispositivo interno. Estación de trabajo como punto de partida para un ataque, por ejemplo, por correo electrónico. Para evitar esto, los servidores internos deben estar aislados por zonas internas adicionales protegidas por un Firewall (o más Firewall si es necesario).

 


http://www.windowsecurity.com/uplarticle/Miejsce_firewalla_rys3.gif

 


Sin embargo, tales soluciones rara vez se utilizan debido a una relación de costo / beneficio pobre. Para que los servidores en las redes privadas funcionen de manera efectiva, deben estar protegidos adecuadamente, mientras que una política de seguridad consistente debería hacer que sea imposible acceder a las áreas protegidas por parte de usuarios no autorizados. Además, cualquier intento de irrumpir en una red privada podría simplemente detectarse y restringirse mediante medidas administrativas y legales. El enfoque descrito anteriormente parece ser un medio razonable de proporcionar segregación y aislamiento protector entre varios departamentos internos de una organización grande, por ejemplo, para "aislar" un centro de investigación con el fin de proteger los resultados de la investigación de ser capturados por las empresas. o en grandes redes privadas como redes académicas y corporativas. Aquí, el enfoque se basa en la separación física de los límites de la red. La Figura 4 a continuación ilustra un ejemplo de este tipo de red.

 


http://www.windowsecurity.com/uplarticle/Miejsce_firewalla_rys4.gif

 


R1 y R2 son enrutadores perimetrales de una red privada. Considero que el objeti****quí debería ser distribuir tareas entre diferentes dispositivos (siguiendo la filosofía: "menos componentes, menos propensos a daños"), digamos, el filtro de paquetes inicial puede (o incluso debería) hacerse solo en el enrutador del perímetro, independientemente de si otras disposiciones de protección ya han sido implementadas. Además, un NAT dinámico puede considerarse necesario para sentarse en este dispositivo (aunque no siempre es posible). F1: un firewall, que establece las reglas de acceso DMZ donde se encuentran los servidores públicos. F3 y F4 se proporcionan para fines duales. En primer lugar, definen un conjunto de reglas que controlan el tráfico entre una red privada y una red pública que se mueve en cualquier dirección. Estos Firewall proporcionan soporte VPN para conexiones interdepartamentales. Físicamente, puede ser un par de cables de cobre, arrendados a un ISP, una conexión inalámbrica o cualquier otro medio. Además, los límites físicos entre redes privadas están definidos por estos Firewall. Los firewalls F2 y F5 realizan funciones similares dentro de las redes locales que se han instalado: establecen reglas de acceso interno al servidor que deben seguir las subredes privadas. Además, el F2 es para eliminar el tráfico inútil entre las subredes 1 y 2. Estos empleados no pretenden ser modelos a seguir en la construcción de una red privada. Son simplemente algunos criterios para sopesar la elección de la aplicación de firewall. La realidad es que primero se trata de una decisión de política de seguridad y, en segundo lugar, de una implementación de firewall (si la hay). Las soluciones anteriores aún no definen qué tipos de firewalls se instalarán en una red. La selección del tipo de Firewall y las ubicaciones también debe ser coherente con una política de seguridad integral. Finalmente, el beneficio de cualquier firewall depende de un problema crítico que es común para todas las aplicaciones y que puede comprometer la confiabilidad de la red en su conjunto. Por lo general, estas soluciones son suficientes pero no siempre perfectas: si una red pública o una subred especialmente protegida deja de ser accesible, aunque sea por un momento, la aplicación de firewall falla. Para evitar esto, los sistemas redundantes se utilizan configurando estos sistemas para que, o todos ellos controlen el tráfico entrante y saliente simultáneamente o para que reanuden la operación después de recibir un mensaje que indica un fallo del sistema primario.



Soluciones no convencionales: cómo configurar una trampa de firewall simple


 

Existe otra aplicación especializada de Firewall, que a menudo se presenta en los medios de comunicación pero con pocas pautas prácticas sobre este tema. Muchos enfoques son posibles, por lo que el dibujo a continuación es simplemente un esbozo preliminar de una idea de tal sistema. Se trata de construir una red trampa con Firewall. La teoría es que un firewall, para ser eficiente, debe monitorear cuidadosamente cualquier tráfico entrante y saliente y reconfigurar las reglas de la política de acceso en tiempo real.

 

http://www.windowsecurity.com/uplarticle/Miejsce_firewalla_rys5.gif

 


Supongamos que un usuario intenta ingresar al sitio web de la compañía. Debido a que no se detectan intenciones maliciosas, se establece una conexión. Si un intruso intentara acceder a una conexión similar, podría comenzar por escanear el espacio de direcciones de la empresa. Un firewall que está instalado detecta el intento del pirata informático y redirige los paquetes atacantes a una red de trampa, que puede construirse, por ejemplo, aislando una clase de dirección (privada) separada en una interfaz de firewall libre, de modo que el tráfico peligroso sea transferido a otra interfaz de red. Por lo tanto, el intruso ingresa a un servidor que actúa en nombre del servidor web de la compañía. Si el intruso se olvida de montar un ataque destructivo por un tiempo, probablemente reanudará un ataque después de un cierto tiempo, tratando de obtener acceso al servidor "verdadero"; cualquier acción de piratería resultaría en redirigirlo al servidor mimético, pero las consecuencias (las huellas de muchos intrusos) de su ataque solo serían visibles para él y para el administrador del sistema. La capacidad del sistema de captura de firewall para reproducir ataques almacenados se usaría para el análisis post-mortem y forense. Naturalmente, este era un ejemplo de una trampa muy simple. En la figura, hay un dispositivo indicado como un IDS (que significa Sistema de Detección de Intrusos), que en ciertas circunstancias puede funcionar de manera independiente y reconfigurar un Firewall con el que funciona en conjunto. ¿Y qué sucede si un intruso comienza inmediatamente su ataque sin intentos de escaneo, pero directamente, utilizando una técnica de explotación (la mayoría de los pseudo-hackers lo usan, de hecho)? Por supuesto, tal ataque pasaría a través de la puerta de enlace de la red, ya que aquí el tráfico no se define en la capa de aplicación. Con los firewalls basados en la capa inferior, solo una herramienta IDS puede proporcionar una solución efectiva que podrá reconfigurar automáticamente la puerta de enlace de la red, redirigiendo así el tráfico a la red trampa.

 

 

Algunos consejos: reaccionar ante los eventos es una preocupación vital


 

No hay respuesta a eventos, no tiene sentido tener una instalación de firewall. El último tema que me gustaría tocar es una contramedida adecuada contra cualquier evento sospechoso. Creo que este problema implica directamente la necesidad de administradores de sistemas de TI con experiencia y conocimientos. Cuando su sistema de seguridad identifica un ataque, se recomienda un poco de sentido común y ningún pánico. Un atacante, una vez asustado, es probable que penetre en sus activos la próxima vez. Si las acciones de un intruso no representan una amenaza directa (por ejemplo, el escaneo de la red), no las bloquee, pero trate de recopilar información sobre el atacante y el ataque (para otros fines). Un individuo más experimentado puede preparar un segmento de red aislado para instalar una trampa para el análisis forense y para emprender acciones legales contra el intruso. Creo que muchos administradores reaccionan con demasiada rapidez ante los incidentes, mientras que otros, en cambio, los ignoran con consecuencias incluso peores.

 


Resumen: ¿cuál es el tipo de firewall recomendado?


 

Cuando se trata de comprar un firewall, hay muchas opciones disponibles en el mercado que ofrecen sus productos de firewall como aquellos que aseguran un 100% de seguridad en la red y que pueden resolver cualquier problema de seguridad que puedan encontrar los usuarios potenciales. Este es un elemento básico del marketing típico "cursi" donde las fortalezas se acentúan, mientras que las debilidades se hacen irrelevantes. Al utilizar la solución de firewall para comprar, considere si y cómo el firewall es compatible con los servicios de seguridad que pueda necesitar. El documento de política de seguridad responderá a estas preguntas; por lo tanto, la consideración de las cuestiones de política de seguridad es de importancia clave. Además, la función de la política de seguridad es indicar si su red necesita un firewall y cuál sería la relación costo / beneficio esperada al comprar un firewall y / o al instalarlo. Una vez que seleccione una solución llave en mano o un firewall basado en una plataforma de software y hardware no dedicado, planifique pasar un tiempo para determinar quién configurará y reforzará adecuadamente su sistema para la seguridad. Al mirar los Firewall, un factor clave a considerar es la experiencia del administrador con estas herramientas de seguridad. Un firewall está diseñado para ser el único punto de tráfico que entra y sale de la red que protege, y como tal se convierte en un único punto de falla. Por lo tanto, tal vez sería más seguro seleccionar un firewall que represente su idea intuitiva de una configuración, aunque con menos adaptabilidad, pero también con un menor riesgo de tener fallas expuestas en su firewall como resultado de una experiencia inadecuada en este campo. Una buena práctica es configurar completamente su producto antes de comprarlo, incluso con un trozo de papel, y analizar todos los escenarios posibles. Si hace todos los deberes y hace las preguntas correctas de antemano, la implementación de su firewall se ejecutará de forma mucho más segura y confiable.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba