Quizás recuerdes el viejo dicho del refranero español: "hombre prevenido vale por dos", que también puedes aplicar en femenino "mujer prevenida, vale por dos".
Arquitecturas de Firewall.
Reflexiona
En las configuraciones reales en que tengas que instalar Firewall, puedes optar por instalar dos o más Firewall de diferente tipo. ¿Crees que es buena combinación un Firewall de nivel de red con uno de aplicación? y si lo que prima es la seguridad por encima de todo ¿complementarlos con Firewalls de sistema en las máquinas más críticas?
Según el tipo de cortafuegos instalado necesitarás diferentes tipos de arquitecturas. Las arquitecturas más conocidas son:
- Arquitectura Screening Router.
- Se trata del modelo de cortafuegos más antiguo, que aprovecha la capacidad de algunos routers, los llamados screening routers, de hacer enrutado selectivos, es decir, para bloquear o permitir el tránsito de paquetes mediante listas de control de acceso en función de ciertas características de las tramas, de forma que el router actúe como pasarela de toda la red. Generalmente, tendrás que usar las direcciones origen y destino para determinar el filtrado con lo que el router se convierte en la pasarela de toda la red. Claro que también podrías usar, los puertos de origen y destino o el tipo de mensaje. Y si aún quieres más posibilidades podrías utilizar las interfaces de entrada y salida en el router.
- Arquitectura Dual-Homed HOST.
- Puedes crear este modelo de cortafuegos con máquinas equipadas con dos o más tarjetas de red, denominadas dual-homed HOSTs, y en las que una de las tarjetas suele conectar a la red interna a proteger y la otra a la red externa a la organización. En esta configuración el screening router y el HOST bastión coinciden en el mismo equipo. Ahora bien, el sistema ha de ejecutar al menos un servidor PROXY por cada uno de los servicios que quieras que pase a través del cortafuegos. Esta es la arquitectura más utilizada hoy en día.
- Arquitectura Screened Subnet.
- Screened subnet es la arquitectura más segura, pero también la más compleja. En esta configuración tendrás que usar dos routers, denominados exterior e interior, conectados ambos a la red perimétrica.
Consiste en que pongas entre la red externa y la interna, un equipo o host con dos tarjetas de red. En este Host debes instalar un proxy para cada uno de los servicios que desees proveer hacia el exterior. El servicio de "IP Forwarding" debe estar deshabilitado, de manera que no sea posible acceder desde el exterior directamente a ese host o equipos internos, sino que todo el tráfico debe ser realizado a través de los diferentes proxys.
Si dispones de un Router con filtrado de paquetes entre la LAN y la red externa, y de un Host con servicios de proxy, pero ubicado dentro de la LAN, entonces configuras el Router para que desde fuera sólo se pueda acceder al Host-proxy. Alternativamente podrías ubicar el Host directamente conectado a la red externa, y el router entre el Host y la LAN, pero esta no es la arquitectura más recomendada.
Si quieres una arquitectura más segura tendrás que implementar, mediante dos "routers con filtros", una zona de seguridad intermedia, en la que ubicarás todos los equipos que deben quedar expuestos en la red externa ("Bastiones"). Esta "zona intermedia" es conocida generalmente como "zona desmilitarizada", o DMZ (DeMilitarized Zone).
Para saber más
En el siguiente enlace encontrarás una buena explicación de las diferentes arquitecturas de Firewalls.