Firewall - ProfesorPonce (Sección Alumnos)

Breaking

Profesional Review Magazine

viernes, 28 de junio de 2013

Firewall


Firewall



Un firewall es un software o un hardware que controla las comunicaciones entrantes y salientes en una red y que mediante la configuración específica permite filtrarlas, basándose en distintos criterios para impedir el acceso no autorizado a áreas protegidas y evitar conexiones entrantes y salientes que cumplan con los criterios de exclusión configurados en las reglas de seguridad programadas en el mismo firewall.

Existen firewalls que trabajan con toda una red, que existen bajo forma de hardware y que en algunas ocasiones pueden estar incorporados a Routers o Puntos de Acceso. Estos firewalls de hardware incorporan software que permite la configuración personalizada. Y existen firewalls en forma de  software, que se usan principalmente para la protección individual de equipos. En ambientes corporativos y redes, se prefieren los firewalls de hardware porque permiten concentrar la configuración de seguridad en un solo lugar, facilitando las tareas del administrador de la red. Siempre es conveniente este tipo de configuración centralizada, pero en el caso de no contar con un firewall para toda la red, en el caso de pequeñas redes hogareñas, se pueden incorporar firewalls individuales para cada equipo y configurar la seguridad individualmente, aunque no es conveniente porque implica más riesgos de seguridad ante la posibilidad de equivocaciones al programar las reglas o imprevistos.

Las funciones del firewall se resumen en una serie de controles y un conjunto de decisiones:

•    Analiza el tráfico entrante y saliente de una red o de un equipo en particular
•    Decide que tráfico deja pasar de acuerdo a las reglas de seguridad programadas
•    Decide a qué tráfico le debe impedir el acceso para garantizar la seguridad interna de la red o del equipo
•    Decide que trafico deja salir en base a las reglas de seguridad programadas
•    Decide que trafico saliente debe impedir basándose en las reglas de seguridad programadas

El enclave estratégico del firewall son justamente la programación de las reglas de seguridad para el tráfico entrante y el saliente de la red o el equipo.

Estas reglas de seguridad (o filtros) tienen distintos puntos de vista y criterios y suelen programarse bajo dos tipos de criterios: criterios permisivos y criterios de exclusión.

Los routers permiten que individualmente las reglas puedan activarse o desactivarse, facilitándole al administrador la programación de reglas individuales sencillas que uniéndose con otras, producen una barrera lógica cuya fortaleza depende de la lógica de programación que se emplea. Adicionalmente se puede decir que si las reglas son programadas de modo incoherente, pueden haber problemas en la comunicación de la red.

Dependiendo del router, las formas de programar esos criterios pueden ser diferentes, pero casi todos los routers permiten la programación de estos tipos de filtros:

•    Filtro MAC: el número MAC es un número asignado y grabado por el fabricante para cada tarjeta de red que es unico e irrepetible. Este filtro permite definir exactamente los números MAC autorizados o impedidos de comunicarse. Si el filtro está configurado para PERMITIR, los números MAC de la tabla son los equipos autorizados a entrar o salir de la red y los que no estén ingresados son excluídos y no pueden ni entrar ni salir. Si el filtro está configurado para IMPEDIR, los números MAC ingresados en la tabla o pueden entrar o salir de la red y los que no estén ingresados tienen autorización de tráfico. Este filtro está pensado para que el administrador impida la conexión específica de uno o varios equipos d la red o del exterior o para canalizar el tráfico de la red a uno o varios equipos en particular.

•    Filtro URL: la url es la dirección de página web en forma de triple w (www.dominio.com.ar). Si el filtro está configurado como PERMITIR, define qué paginas web pueden ser accedidas desde la red; las que no estén definidas, son bloquedas. Si el filtro está configurado para IMPEDIR, las páginas web ingresadas en la tabla no pueden ser accedidas por los equipos de la red y las que no se ingresaron pueden visualizarse. Este filtro está pensado para impedir que os usuarios accedan a páginas web o para canalizar la conectividad a una o varias páginas web en particular. Dependiendo del router, algunos permiten trabajar indistintamente con triple w (www) o numeros ip de las páginas web, otros sólo permiten ingresar el triple w de la página.

•    Filtro IP: Si el filtro está programado para PERMITIR, los números IP que se ingresen en la tabla, serán los autorizados para conectarse mientras que el resto de números IP serán excluídos de la conexión. Si el filtro se configura para IMPEDIR, los números IP de la tabla no tendrán acceso a la red y el resto de  los números podrá conectarse. Este filtro está pensado principalmente para que el administrador pueda canalizar las comunicaciones de la red en el caso de que tenga varias puertas de enlace, para que pueda canalizar comunicaciones dentro de un cierto rango de números IP, como un filtro semejante al MAC en el caso de que su red tenga equipos con IP fijas o para el caso de que quiera “entubar” comunicaciones dentro de segmentos de red. Adicionalmente también puede servir de filtro ante números IP externos detectados como potencialmente peligrosos. Casi todos los router que he visto permiten definir números IP individuales o rangos completos de números IP (definiendo el binomio IP desde / IP hasta).

•    Filtro Dominio: semejante al filtro URL, pero no incluye el nombre de la página completo, sino todo el dominio. Por ejemplo, en un filtro URL bloqueamos una página web en particular (por ejemplo www.hackers.net.ar), pero en el Filtro de Dominio bloqueamos a todas las páginas web que tengan un dominio en particular. Por ejemplo definimos al dominio “net.ar” y el router trabajará con todas las web que terminen en “net.ar”, sin importar el nombre en particular de la página web.
Si el filtro está configurado como PERMITIR, define qué dominios pueden ser accedidos desde la red; los que no estén definidos, son bloquedos. Si el filtro está configurado para IMPEDIR, los dominios ingresados en la tabla no pueden ser accedidos por los equipos de la red y los que no se ingresaron pueden visualizarse. 

•    Filtro Protocolos: Define que protocolos tienen permiso o están excluídos de operar con los equipos de la red. Dependiendo de la calidad del firewall y de la actualidad de su software puede incluir más o menos protocolos. La mayoría que he visto incluye los protocolos usuales: TCP, FTP, HTTP, HTTPS, SMTP, POP3, Telnet, etc. Algunos routers hacen una diferenciación entre Protocolos de la capa 4 de transporte (TCP, UDP) y protocolos de la capa 7 de aplicación ( HTTP, SMTP, POP3, FTP, etc). Por este último motivo puede ser que algunos tengan diferentes formas de programacion. Usualmente todos permiten definir un protocolo y adicionalmente programar los puertos o el rango de puertos con los que trabaja el protocolo a definir en la regla. Cuando el filtro se programa para PERMITIR, el protocolo definido puede trabajar para los puertos programados y el resto de los protocolos no ingresados a la lista no pueden trabajar. Si el protocolo definido intenta acceder por un puerto no registrado en la lista, se niega la comunicación. Cuando el filtro se programa para IMPEDIR, el protocolo definido no puede trabajar para los puertos programados y el resto de los protocolos no ingresados a la lista pueden trabajar. Si el protocolo definido en la lista de IMPEDIR intenta acceder por un puerto no registrado en la lista, se permite la comunicación. Por este último motivo este filtro de programación es uno de los más críticos en seguridad y el que más fallas puede ocasionar en la administración y programación de la reglas. Muchos expertos en seguridad advierten de la necesidad de trabajar esta regla de filtro por protocolo unica y exclusivamente como regla de PERMITIR para evitar riesgos catastróficos se seguridad.