Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral

Punto 2 – Arquitecturas de Cortafuegos

Juan Luis Cano

Un cortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

Existen varias arquitecturas para garantizar el acceso privado, como son…

Cortafuegos

Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP.

Cortafuegos de Filtrado de Paquetes

En este tipo de cortafuegos se permiten filtrados según campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la dirección MAC.

Básicamente es un servidor con dos tarjetas de red, una dirigida a Internet y otra dirigida a la red interna, que actúa como Host Bastion permitiendo o denegando todos los paquetes que entren y salgan de la red. También puede utilizarse entre redes internas.

Cortafuegos Dual Homed Host

En este caso se combina un Router con un host bastión y el principal nivel de seguridad proviene del filtrado de paquetes. En el bastión, el único sistema accesible desde el exterior, se ejecuta el Proxy de aplicaciones y en el Choke se filtran los paquetes considerados peligrosos y sólo se permiten un número reducido de servicios.

Cortafuegos Screened Host

Una zona desmilitarizada (DMZ, demilitarized zone) o red perimetral es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet.

Cortafuegos Screened Subnet (DMZ)

El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna.

Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida.

Objetivos de la DMZ

En la Screened Subnet se utilizan dos routers que protegen la zona desmilitarizada, cortando todo el tráfico en ambos sentidos y asegurando la DMZ.

Modelo Screened Subnet

La comúnmente llamada DMZ de tres patas, es una DMZ que no es tan segura como la Screened Subnet descrita anteriormente. En vez de dos routers que aseguren la zona, se utilizará solo uno de los dichos para ese propósito.

Three Legged Firewall

Punto 3 – Políticas de Defensa