12 de mayo de 2012

Tipos de firewall

Un término muy utilizado en el ámbito de las redes de datos y no siempre bien precisado es el de "firewall" o "cortafuegos" en su versión española.
Con este vocablo nos referimos indistintamente a hardwares, sofware, implementaciones... Es por eso que me pareció importante recoger algunos elementos para clarificar los diferentes significados que puede tener el término.
¿Qué es un firewall?
Un firewall es un sistema que fuerza la implementación de políticas de control de acceso entre 2 o más dominios de seguridad.
Es decir, un sistema (hardware, software, combinación de ambos o simplemente implementación en un dispositivo no dedicado) que facilita la aplicación de políticas de inspección y acceso entre 2 áreas de la red que tienen diferente política de seguridad.
Firewall puede ser entonces un appliance (hardware dedicado que corre un software especialmente diseñado para este propósito como es el caso de un ASA), un software implementado sobre un dispositivo no dedicado a ese propósito (el firewall de Cisco IOS que ofrecen los ISRs), o una implementación de recursos o herramientas que permiten realizar este tipo de tareas (un conjunto de ACLs en un router de acceso).
¿Qué tipos de firewall hay?
De acuerdo a las técnicas de filtrado de tráfico que se implementan, los firewalls pueden clasificarse en diferentes tipos:
  • Filtrado de paquetes statelessEs la forma más básica de filtrado de tráfico.Usualmente se aplica en dispositivos de capa 3 e implementa conjuntos de reglas estáticas que examinan los encabezados de cada paquete para permitir o denegar el tráfico, sin ninguna relación con los flujos de tráfico precedentes.Trabajan bien cuando el objetivo filtrar aplicaciones basadas en TCP que no utilizan negociación dinámica de puertos.
  • Filtrado de paquetes stateful
    Es un método de filtrado de paquetes que trabaja a nivel de flujo o conexión, con ocasionales intervenciones a nivel de la aplicación.
    Mantienen una tabla de estado que hace seguimiento de las sesiones que atraviesan el firewall y en función de ella hace inspección de cada paquete que atraviesa el dispositivo.
    El mecanismo asume que si se permite el inicio de la conexión, cualquier conexión adicional que requiera esa aplicación será permitida.
    Es un mecanismo confiable para filtrar tráfico de red entre dominios de seguridad.
  • Filtrado de paquetes stateful con inspección y control de aplicacionesSe trata de firewalls stateful que incorporan motores de análisis de tráfico que suman servicios adicionales que reciben la denominación de Application Inspection and Control (AIC) o Deep Packet Inspection (DPI).Estos sistemas reensamblan en memoria las sesiones de capa de transporte para realizar inspección de protocolos de capa de aplicación y decodifican los protocolos de capa de aplicación para permitir filtrado de protocolos y contenidos.Pueden verificar los protocolos de capa de aplicación para eliminar paquetes que no se conformen con el funcionamiento estándar del protocolo.
  • Sistemas de prevención de intrusos en la redNetwork Intrusion Prevention Systems (NIPS)
    Sistema que analiza el tráfico de la red con el propósito de bloquear tráfico malicioso conocido. Se asienta en una base de datos de ataques que debe ser actualizada periódicamente.
    Son mecanismos permisivos y usualmente no pueden detectar amenazas nuevas a menos que hayan sido incluidas en las actualizaciones.
  • Gateways de aplicaciones (proxies)Es un sistema de software diseñado para actuar como intermediario y reenviar requerimientos de capa de aplicación y respuestas entre los clientes y los servidores.En términos de control de acceso, permite un filtrado y seguimiento muy granular tanto de las solicitudes como de las respuestas.Brindan opciones de control de acceso confiables para los protocolos soportados.Sin embargo, hay que tener presente que no hay proxies disponibles para todas las aplicaciones corporativas y no aplican a aplicaciones de tiempo real.



2 comentarios:

  1. Muchas gracias por la info. Gran blog. Espero contiunues escribiendo articulos por largo tiempo. Saludos desde Montevideo

    ResponderEliminar
  2. Muchas Gracias Oscar mas claro no puede estar

    ResponderEliminar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.