En esta publicación:
Listas de acceso
Las listas de acceso (ACL) son utilizadas para filtrar tráfico de red que atraviesa un dispositivo de seguridad, son utilizadas cuando un administrador de red debe controlar el acceso en un router local, la lista de acceso es aplicada a una interfaz que permite o bloquea tráfico a través de esa interfaz.
En el ejemplo, Alice con IP 192.168.1.1 debe comunicarse con Bob con IP 1.1.1.1, para permitir esto, el router utiliza una lista de acceso (ACL) que proporciona reglas con especto a qué tráfico tiene permitido atravesar el router. La lista de acceso se puede aplicar cómo “de entrada” o “de salida” la dirección de la ACL es desde la perspectiva del router.
Se aplica una ACL en la interfaz que conecta directamente a Alice, el tráfico desde Alice hacia Bob está entrado en la interfaz y coincide con la dirección de origen IP 192.168.1.1 y la dirección destino de 1.1.1.1, la acción de la regla es “permitir el tráfico” esto le permite a Alice iniciar comunicación con Bob.
Sin embargo, el tráfico de retorno desde Bob hasta Alice también se debe permitir, esto requiere de otra regla en la ACL que coincida con la dirección origen 1.1.1.1 destinado hacia 12.168.1.1 para que el tráfico sea permitido, debido a que la ACL está aplicado a la interfaz directa hacia Alice, la dirección del tráfico será de salida, ya que está saliendo de la interfaz del router.
Dirección | IP Origen | Destino | Acción |
---|---|---|---|
Entrada | 192.168.1.1 | 1.1.1.1 | Permitir |
Salida | 1.1.1.1 | 192.168.1.1 | Permitir |
Esta configuración también permite que Bob sea el que inicia una sesión con Alice, lo que puede no ser deseado, por ejemplo, un escenario común sería cuando Alice necesite acceder a Internet, para habilitar este tráfico una regla puede ser creada que coincida la dirección IP 192.168.1.1 de origen de Alice y cualquier dirección IP cómo destino para que permite el tráfico, la regla de retorno también permitirá cualquier dirección de origen con destino a la dirección IP 192.168.1.1 de Alice, lo que representa una vulnerabilidad de seguridad muy grande.
Dirección | IP Origen | Destino | Acción |
---|---|---|---|
Entrada | 192.168.1.1 | Cualquiera (Any) | Permitir |
Salida | Cualquiera (Any) | 192.168.1.1 | Permitir |
Reglas Stateless y Stateful
Las listas de acceso (ACL) son “sin estado” (stateless), Las reglas de firewall “con estado” (Stateful) trabajan de manera diferente a las ACL.
Por ejemplo, una regla de firewall con estado se ha creado para permitir que Alice con dirección IP 192.168.1.1 se comunique con la dirección destino 1.1.1.1 cuando Alice inicia una sesión de tráfico con Bob, El firewall con estado (Stateful Firewall) permite el tráfico cómo lo haría una lista de acceso, sin embargo, el Firewall es consciente que le tráfico de retorno desde Bob hacia Alice también debe ser permitido, en el Firewall se crea una “tabla de sesiones” que permite a la dirección 1.1.1.1 retornar tráfico a 192.168.1.1 siempre y cuando la sesión haya sido iniciada por 192.168.1.1.
Usa sesión normalmente es definida cómo una coincidencia de 5 factores:
- Dirección IP origen.
- Dirección IP destino.
- Puerto (L4) origen.
- Puerto (L4) destino.
- Número de protocolo.
Esta información es alojada en la tabla de sesiones, con esta regla si Bob quiere iniciar una sesión de tráfico con Alice, el tráfico de entrada es comparado contra la tabla de sesiones en el firewall, si el tráfico de Bob no es parte de una sesión existente el tráfico se descarta, en otras palabras, Alice puede iniciar una comunicación con Bob, pero Bob no puede iniciar una comunicación con Alice.
En un firewall las reglas con estado no son aplicadas a una interfaz, sino que se crean zonas de seguridad, que pueden incluir una o más interfaces, el tráfico que debe atravesar de una zona a otra debe ser comparada contra las políticas de seguridad.
En el ejemplo se muestran dos zonas, la zona 1: LAN es interna a la red, la otra zona, zona2: Internet es mucho menos segura, la regla permite a Alice comunicarse con cualquier recurso en Internet, pero no permite a ningún dispositivo en Internet iniciar comunicación con la estación de trabajo de Alice.
Este sistema hace la PC de Alice más segura contra amenazas externas cuando accede a Internet. Las reglas pueden ser más específicas, por ejemplo, las reglas pueden contener otros parámetros que identifiquen las zonas de origen y destino, así cómo los tipos de protocolos y números de puertos.
Firewalls de nueva generación
Las reglas de Firewall de nueva generación permiten la inclusión de aplicaciones o grupo de aplicaciones cómo criterios de filtrado en las reglas, esto requiere de procesos que puedan ejecutar inspección profunda de los paquetes de datos en tránsito para identificar tipos de aplicaciones en los paquetes.
Otra característica de los firewall de nueva generación es ilustrada en la figura:
Regla | Origen | Destino | Acción |
---|---|---|---|
5 | Usuario Alice | Internet | Permitir |
La regla 5 permite tráfico originado por el usuario Alice, sin embargo, la regla no especifica la dirección IP de la PC de Alice, esto se logra al configurar el firewall para que autentique el usuario a través de un Directorio Activo, por ejemplo, Microsoft Active Directory, de esta manera aunque Alice se conecte a través de WiFi, una estación de trabajo o PC diferente o incluso desde un sitio remoto, las reglas de seguridad se pueden aplicar a su tráfico incluso si la dirección IP cambia, de igual manera, las reglas se pueden aplicar a grupos de usuarios.
Gestión unificada contra amenazas UTM
Unified Threat Management (UTM) es otro nivel de seguridad que puede ser aplicado a la red, por ejemplo:
- Filtro de contenido.
- Protección contra Malware.
Regla | Origen | Destino | Aplicación | Acción |
---|---|---|---|---|
5 | Usuario Alice | Internet | Any | Permitir |
6 | Zona: LAN | Internet | Any | Inspección IPS/IDS |
7 | Grupo de usuarios: Ventas | Internet | Inspección IPS/IDS |
Esto incluye una inspección profunda del tráfico, la regla 6 permite tráfico desde la Zona: LAN hacia Internet y requiere que le tráfico sea analizado contra malware por el módulo IPS/IDS, la regla 7 permite tráfico de correos electrónicos desde el grupo de ventas que también requiere ser inspeccionado.
Comparación de características
Stateful Firewall
- Políticas con estado.
- Protección contra ataques DOS.
- ALG (Application Level gateways).
- IPsec VPN (Protección sitio a sitio).
- Visibilidad de aplicaciones.
Next-Gen Firewall
- Control de aplicaciones.
- Reputación y filtrado por URL.
- Reputación y filtrado por IP.
- Reputación y filtrado por DNS.
- Control de acceso por usuarios y grupos de usuarios.
- Control e identificación por dispositivos.
- Inspección TLS.
UTM Firewall
- Reputación y filtrado por Archivos.
- IPS/IDS.
- Anti-virus.
- Descripción TLS.
- Acceso remoto por VPN.
DOS (Denial of service) el ataque de negación de servicio está diseñado para utilizar los recursos de la PC o del servicio de red, para que no esté disponible o no pueda atender a usuarios legítimos.
ALG (Application Lavel gateways) permite al firewall que los usuarios puedan conectarse a las aplicaciones haciendo uso de números de puertos diferentes, por ejemplo, cuando se estable una sesión FTP el dispositivo que inicia la sesión solicita un canal de datos al usuario remoto que usa un número de puerto diferente, el firewall debe ser capaz de reconocer este proceso y permitir el tráfico para ambos puertos en ambas direcciones.
Referencias
- Este contenido ha sido realizado sin fines de lucro, y con el objetivo de promover y facilitar el acceso al conocimiento sobre nuevas tecnologías.
- Todo el contenido de este artículo está basado en material y contenido gratuito de la Academia de Versa.
- No soy autor de las imágenes presentadas en este artículo, han sido tomadas del material y contenido gratuito de la Academia de Versa.
- Click aquí para visitar la Academia de Versa.