Red
externa
Dual-Homed
Host (con P®oxies)
LAN
Host
PC
PC
PC
La
arquitectura
denominada
“Screened
Host”
combina,
en
cierta
forma,
las
dos
anteriores. En este caso, se dispone de un Router con filtrado de paquetes entre la
LAN y la red externa,
y de un
Host con servicios proxies, pero ubicado dentro de la
LAN. El
Router es configurado, a diferencia del primer caso, para que desde fuera
solo se pueda acceder al Host con proxies. Alternativamente podría ubicarse el
Host
directamente
conectado
a
la
red
externa,
y
el
router
entre
el
Host
y
la
LAN,
pero esta no es la arquitectura más recomendada.
Red
externa
Router (©on filt®o de paquetes)
LAN
Host
PC
PC
PC
Una arquitectura más segura consiste en implementar, mediante dos “routers con
filtros”,
una
zona
de
seguridad
intermedia,
en
la
que
se
ubican
todos
los
equipos
que deben quedar expuestos en la red externa (“Bastiones”). Esta “zona
intermedia” es conocida generalmente como “zona desmilitarizada”, o DMZ
(DeMilitarized Zone), la arquitectura es conocida como Screened Subnet. Aunque
un atacante tenga acceso a estos equipos, no tendrá acceso directo a la LAN de la
Red
externa
DMZ
Router
c/filtro
Firewall
Bastión
Bastión
Router
c/filtro
LAN
PC
PC
PC
PC
Empresa. Todavía tendrá que pasar por otro router con sus filtros, lo que brinda un
nivel
de
seguridad
adicional
a
la
arquitectura
anterior.
Muchos
equipos
“Firewall”
implementan esta arquitectura, disponiendo de 3 puertas de red: una para la
conexión a la red pública (Internet), otra para la DMZ y la última para la conexión a
la LAN. Esto se esquematiza en la figura anterior.
Para elegir, en cada caso, la arquitectura de cortafuegos a implementar, se deben
tener en cuenta varios aspectos:
Política
de
seguridad:
Principalmente debe
tenerse en
claro
la
Política
de
Seguridad de la organización,
y
en base a ella, definir
una arquitectura que
permita su implementación. También como parte de la política de
seguridad, se debe tener claro cuales son
los
“activos de información” que
se desean proteger,
y
las amenazas a las que están expuestos, de manera
de seleccionar la arquitectura que mejor se adapte a la protección de dichos
activos.
Tipos de servicio que se deben acceder: Debe tenerse en cuenta que
tipos de servicios del exterior requieren ser accedidos por los usuarios, y
que
tipos
de
servicios
se
deben
permitir
acceder
desde
la
red
interna.
En
particular, debe considerarse si
los servicios a acceder desde la red interna
son generales, o dependen de cada
usuario, o si se desea
tener algún tipo
de funcionalidad avanzada, como filtros de contenido.
Registro de actividad: Debe considerarse si es
necesario o no el
registro
de los accesos
Carga
o
Performance:
Es
necesario
considerar
la
carga
que
soportará
el
Firewall
(accesos por segundo, por ejemplo), de manera de seleccionar los
equipos adecuados a dicha carga
Costos:
Los
aspectos
de costos
no pueden dejar
de evaluarse.
En
especial, deberá tenerse en cuenta el balance entre la protección obtenida
y
la inversión a realizar, teniendo en cuenta no solo los costos iniciales, sino
también
los
repetitivos
(soporte,
mantenimiento,
suscripción
a
servicios
de
actualización de filtros, de antivirus, etc.)
Administración: La facilidad de administración puede ser
también
un tema
a
evaluar, si es que dicha tarea será realizada por personal propio. En caso
de tercerizarlo,
los costos deberán ser evaluados, como se mencionó en el
párrafo anterior.
Filtrado de paquetes
A los efectos de aumentar la seguridad, tanto en el tráfico entrante como en el
tráfico saliente, los Firewall implementan varios tipos de “inspecciones” en los
paquetes que pasan (o intentan pasar) de Internet a la LAN y viceversa.
Packet Filter
Un Firewall que implementa “filtrado de paquetes”, inspecciona cada paquete IP, y
lo evalúa a los efectos de determinar si puede o no pasar. En este caso, la
decisión es hecha paquete a paquete, sin importar los
paquetes recibidos
anteriormente.
Los
bloqueos
se
pueden
definir
en
base
a
direcciones
de
origen
y
destino, tipo de paquete, etc.
Este tipo de filtrado es sencillo de implementar, pero es relativamente pobre en
sus características, ya que permite bloquear completamente o permitir el paso
abiertamente.
Los Firewall que implementan filtrado de paquetes, trabajan a nivel de la capa 3
Stateful Inspection
Una manera mas sofisticada de filtrar paquetes consiste en tener en cuenta no
solo
el
paquete
actual,
sino
la
“historia”,
de manera
que
el
paquete
se
considere
en
el contexto
de los paquetes anteriores. Esto
permite distinguir entre
conversaciones establecidas y nuevas conversaciones, y tomar decisiones
acordes.
Circuit Level
Si
se
inspecciona
hasta
la
capa
4,
es
posible
identificar
sesiones,
y
por
lo
tanto,
permitir solo sesiones iniciadas por computadores conocidos.
Application Level
Llegando hasta
la capa 5, se pueden implementar filtros por aplicación. Por
ejemplo, se pueden distinguir paquete http:post, http:get, etc.
Los Firewall que implementan filtros en la capa de aplicación requieren por lo
general
de
un
alto
nivel
de
mantenimiento
y
actualización,
ya
que
los
fabricantes
deben mantener al día el filtrado de nuevas aplicaciones o protocolos. Como
contrapartida, son mas seguros que el resto de los tipos de Firewall
8.4.3 VPN
Una “Red Privada Virtual” o “Virtual Private Network” (VPN) [71] es un sistema
para simular una red privada sobre una red pública, por ejemplo, Internet. Las
VPN permiten interconectar redes LAN a través de
Internet, o computadores
aislados
a
las
redes
LAN
a
través
de
Internet.
Las
VPN
posibilitan
la
conexión
de
usuarios
móviles a la
red privada,
tal como
si estuvieran
en
una
LAN dentro
de
una
oficina
de
la
empresa
donde
se
implementa
la
VPN.
Esto
resulta
muy
conveniente para personal que
no
tiene
lugar fijo de
trabajo dentro de la empresa,
como
podrían
ser
vendedores,
ejecutivos
que
viajan,
personal
que
realiza
trabajo
desde el hogar, etc.
La
forma de comunicación entre las partes
de la red privada a través de la red
pública se
hace estableciendo
túneles virtuales entre dos puntos para
los cuales
se negocian esquemas de encriptación y autentificación que aseguran la
confidencialidad e integridad de los datos transmitidos utilizando la red pública.
La tecnología de túneles ("Tunneling") es
un modo de transferir datos en
la que se
encapsula un tipo de paquetes de datos dentro del paquete de datos de algún
protocolo,
no
necesariamente diferente al del paquete original. Al
llegar al destino,
el paquete original es desencapsulado volviendo así a su estado original. En el
traslado
a través de Internet, generalmente
los paquetes viajan encriptados,
por
razones obvias de seguridad.
En la LAN se debe ubicar un equipo “Terminador de túneles”, y los “clientes
remotos” (PCs
conectados
a
Internet
que desean
establecer un
túnel
con
la
LAN)
deben tener el software adecuado para establecer túneles.
Tunel sobre
Internet
LAN
Internet
Paquetes
encapsulados
dentro del tunel
Una vez establecido el “túnel”, a nivel lógico, el PC remoto es como si estuviera en
la LAN. Se le asigna una IP de LAN (generalmente con DHCP), y todos los
servicios accesibles en la LAN están a disposición del PC remoto. Los paquetes IP
que envía el PC
remoto hacia la LAN
son encapsulados,
y
generalmente
encriptados, dentro del cuerpo del paquete
IP que es enviado a
Internet. El
“Terminador
de
túneles”,
ubicado
en
la
empresa,
recibe
el
paquete
público,
desencapsula
y
desencripta
su
contenido,
y
lo
envía
como
un paquete
IP
normal
de LAN
Hay
varios
sistemas
de
encriptación,
pero
el
que
está
siendo
más
utilizado
es
el
conocido como IPSec.
IPSec provee confidencialidad, integridad, autenticidad
y
protección a repeticiones
mediante dos protocolos, que son Authentication Protocol (AH) y Encapsulated
Security Payload (ESP).
Se entiende por “confidencialidad” que
los datos transferidos sean sólo entendidos
por
los
participantes
de
la
sesión.
Por
“integridad”
se
entiende
que
los
datos
no
sean modificados en el trayecto de la comunicación. “Autenticidad”
indica sea
confiable
el
remitente
de
los
datos,
y
por
“protección
a
repeticiones”
se
entiende
que
una
sesión
no
pueda
ser
grabada
y
repetida
salvo
que
se
tenga
autorización
para hacerlo.
El
protocolo
AH
[72]
provee
autenticación,
integridad
y
protección
a
repeticiones
pero no confidencialidad.
El protocolo ESP [73] provee autenticación, integridad, protección a repeticiones
y
confidencialidad de los datos, protegiendo el paquete entero que sigue al header.
La
siguiente
figura
muestra
un
paquete
AH
y
un
paquete
ESP
[74].
En
el
primero
(AH), el cabezal AH (AH Header) incluye la autenticación de todo el paquete,
incluyendo la dirección IP del comienzo del paquete. Es decir, el cabezal AH
incluye
un campo
ICV
(Integrity Checksum Value). En el segundo (ESP), la
dirección
IP del comienzo del paquete
no
tiene
validación, pero el resto del
paquete
está
encriptado
y
autenticado.
EL
ICV
en
este
caso
se
encuentra
al
final
del paquete
9
Referencias
[1]
Redes de Computadoras (Tercera edición, ISBN 968-880-958-6)
Andrew S. Tanenbaum Andrew S. Tanenbaum, Prentince Hall Hispanoamericana, 1997
[2]
“Breve Historia de las Telecomunicaciones”
José Joskowicz, Agosto 2007
[3]
“The Aloha System - Another Alternative for Computer Communications “
N. Abramson, Proceedings of Fall Joint Computer Conference, AFIPS Conference
Proceedings, Vol. 37, pp. 281-285, 1970
[4]
IEEE 802.3-2005
IEEE
Standard
for Information
technology--Telecommunications
and
information
exchange
between systems--Local and metropolitan area networks--Specific requirements--Part 3:
Carrier Sense Multiple Access with Collision Detection (CSMA/CD) Access Method and
Physical Layer Specifications
[5]
“Cableado Estructurado”
José Joskowicz, Agosto 2007
[6]
IEEE 802.1d – Spannig Tree
IEEE
Standard
for
Information
technology--Telecommunications
and
information
exchange
between
systems--IEEE
standard
for local
and
metropolitan
area
networks--Common
specifications--Media access control (MAC) Bridges (includes IEEE 802.1k-1993), 1998
Edition or 2003 Edition
[7]
IEEE 802.1q – VLAN
IEEE Standards for Local and metropolitan area networks—Virtual Bridged Local Area
Networks, 2003 Edition
Portal para Investigadores y Profesionales
