21 de agosto de 2011

Tecnologías de Firewall

Los que trabajamos en el ámbito de las redes de datos hemos escuchado mencionar el término "firewall".
Sin dudas que el firewall (o cortafuegos) es un elemento estrechamente vinculado a la implementación de seguridad en redes de datos. Pero también suena ambiguo. Hay quienes refieren por firewall a un software instalado en sus terminales, otros que lo aplican exclusivamente a dispositivos de red u otros que lo refieren a un conjunto de reglas.


¿Qué es entonces un firewall?
Bueno, en principio es todo lo que dije arriba y algo más. Es un concepto más amplio que esas versiones restrictivas.
Un firewall es un sistema (conjunto de elementos) que fuerza la aplicación de políticas de acceso entre diferentes áreas (dominios de seguridad) de una red de datos.
En cuanto sistema puede estar compuesto por uno o varios dispositivos o funcionalidades aplicadas en diferentes equipos.


Tecnologías de firewalling
En la actualidad podemos utilizar diferentes tecnologías de firewalling:
.1. Filtrado de paquetes stateless
  • Se realiza a partir de un conjunto de reglas estáticas que permiten o bloquean el acceso de tráfico en función de información contenida en los encabezados de los paquetes.
  • Ideal para trabajar con aplicaciones TCP que operan con asignación estática de puertos o filtrado en función de información contenida en los encabezados de capa 3.
  • Es transparente para el usuario final y opera con alta performance.
  • No soporta sesiones que utilizan asignación dinámica de puertos.
  • Requiere conocimientos y experiencia por parte del operador que diseña y configura.
  • No es útil para detener ataques de reconocimiento.
.2. Filtrado de paquetes stateful
  • Permite un control confiable del acceso en base a la información contenida en los encabezados de capa 3 y 4 de los paquetes.
  • Puede hacer seguimiento de sesiones que utilizan asignación dinámica de puertos.
  • Es simple de configurar.
  • Es transparente para el usuario final y opera con alta performance.
  • No inspecciona contenidos de capa de aplicación.
  • No puede seguir sesiones con asignación dinámica de puertos cuando el tráfico es encriptado.
.3. Filtrado de paquetes stateful con inspección y control de aplicaciones
  • Permite un control confiable de acceso en base a la información contenida en los encabezados de capa 3 y 4 de los paquetes.
  • Hace inspección de los comandos de aplicaciones para segurar su consistencia.
  • Es simple de configurar.
  • En transparente para el usuario final, pero afecta la performance.
  • La capacidad de inspección está afectada par la capacidad de bufferización de paquetes.
.4. Network Intrusioin Prevention Systems
  • Permiten detectar diferentes tipos de ataques a múltiples niveles en función de la inspección del tráfico a partir de una base de datos de "firmas".
  • Útil para la detección de ataques conocidos, gusanos, spyware, trojanos, bots, etc.
  • Es transparente para el susuario final, aunque afecta la performance.
  • Requiere permanente actualización de la base de datos de firmas.
  • Requeire de un período inicial de ajuste para evitar errores en la detección.
.5. Network Behavior Analysis
  • Realiza análisis automáticamente del comportamiento del tráfico de la red, detectando anomalías estadísticas.
  • Se puede utilizar tanto para analizar el tráfico en línea, o fuera de línea.
  • Tiene la capacidad de detectar ataques aún no conocidos.
  • Es problemático su funcionamiento en entornos de red caóticos, dado que se basa en el análisis estadístico de anomalías.
  • Requiere una puesta a punto y un ajuste periódico muy preciso.
.6. Gateways de capa de aplicación (proxies)
  • Permiten un control confiable y estable en capa de aplicación.
  • Pueden realizar normalización automática de los protocolos.
  • Tienen la habilidad de realizar análisis en profundidas del contenido.
  • No están disponibles para todas las aplicaciones de la red. Lo más habitual es para tráfico web y de correo electrónico.
  • No se puede utilizar en aplicaciones de tiempo real.
  • No es transparente para el usuario final.
Cualquier comentario o consulta que consideres importante respecto a este tema,
 incorporalo a continuación en forma de comentario.
Muchas gracias.
Oscar Gerometta
Si estás en Google+
enviame un correo electrónico a ogerometta@gmail.com
para incorporarte el Círculo que comparte información sobre Tecnología.

2 comentarios:

  1. Saludos, tiene algún libro al respecto ?

    ResponderEliminar
    Respuestas
    1. Si Dionisio.
      He publicado el manual Configuración de dispositivos Cisco ASA referido a estos temas.
      En este enlace tienes una demo: http://es.scribd.com/doc/101214767/Configuracion-de-dispositivos-Cisco-ASA-v1-1-Demo
      Pero es solo una demo, y no incluye el tópico desarrollado en este post.

      Eliminar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.