Firewall o cortafuegos
Un cortafuegos (Firevall Inglés), es un software y / o hardware, para hacer cumplir la política de seguridad de la red, se establece qué tipos de comunicación permitidos en esta red de ordenadores. Mide las aplicaciones de prevención y paquetes.
Funcionamiento general Firevall
El servidor de seguridad fue hasta hace poco considerada la piedra angular de la seguridad de una red de computadoras (que pierde en importancia a medida que las comunicaciones fallan a la HTTP sobre SSL, sin pasar por ningún tipo de filtrado ). Permite aplicar una política de recursos de la red de acceso (servidores).
Su tarea principal es controlar el tráfico entre diferentes zonas de confianza, filtrando los flujos de datos que pasan a través. Generalmente, las zonas de confianza incluyen la Internet (una zona de confianza es cero) y al menos una red interna (un área en la que la confianza es más importante).
El objetivo es proporcionar una conectividad controlada entre áreas de diferentes niveles de confianza, gracias a la aplicación de la política de seguridad y un modelo de conexión basado en el principio de privilegios mínimos.
El filtrado se realiza de acuerdo a diversos criterios. Los más comunes son:
El origen o destino del paquete (dirección IP, puertos TCP o UDP, interfaz de red, etc.);
Las opciones contenidas en los datos (fragmentación, validez, etc.);
Los propios datos (tamaño, igualando un patrón, etc.);
Los usuarios de nuevo.
Un servidor de seguridad es a menudo un router y así aísla la red en zonas de seguridad llamados DMZ o zonas desmilitarizadas. Estas áreas se separaron de acuerdo con el nivel de confianza de su puerta.
Por último, el cortafuegos es también a menudo IPsec o SSL túnel. La integración del flujo de filtrado y la gestión del túnel es de hecho necesario a fin de proteger tanto la confidencialidad y la integridad de tráfico y el filtro de lo que entra en el túnel.
Categorías firewall
Los cortafuegos son uno de los equipos más antiguos de la seguridad informática y, como tales, han sido objeto de muchos cambios. Tras la generación de cortafuegos o su papel exacto se pueden clasificar en diferentes categorías.
Apátrida Firewall (cortafuegos sin estado)
Este es el dispositivo de filtrado de red más antigua insertado en los routers. Él mira a cada paquete de forma independiente de los demás, y lo compara con una lista preconfigurada de reglas.
Estas reglas pueden tener diferentes nombres dependiendo del servidor de seguridad:
«ACL» para la Lista de Control de Acceso (algunos firewall Cisco)
Política o la política (firewall Juniper / Netscreen)
Filtros,
Normas o reglas,
etcétera
La configuración de estos dispositivos es a menudo complejo y la falta de consideración de las máquinas de estado de protocolo de red no proporcionan una finura de filtración altamente avanzada. Por tanto, estos servidores de seguridad tienden a caer en desuso, pero aún están presentes en algunos routers o sistemas operativos.
Cortafuegos de estado (stateful firewall)
Algunos protocolos llamados «estado» como TCP introducen una noción de conexión. Los estados de firewall verifican la conformidad de los paquetes de una conexión actual. Es decir, comprueban que cada paquete de una conexión es un resultado del paquete anterior y la respuesta a un paquete en la otra dirección. También saben los paquetes ICMP filtrado inteligente que se utilizan para la señalización de flujo IP.
Finalmente, si las ACL permiten un paquete UDP caracterizado por una cuádruple (ip_src, port_src, ip_dst, port_dst) para pasar, un servidor de seguridad tales permitirá que la respuesta caracterizada por un cuarteto invertida, sin escribir una ACL inversa. Esto es fundamental para el buen funcionamiento de todos los protocolos basados en UDP como DNS, por ejemplo. Este mecanismo proporciona la fiabilidad, ya que es más selectivo en el tipo de tráfico permitido. Sin embargo, en el caso de UDP, esta característica se puede utilizar para establecer conexiones directas (P2P) entre dos máquinas (como lo hace, por ejemplo, Skype).
Application Firewall
La última versión del servidor de seguridad, compruebe que el paquete completo cumple de un protocolo esperado. Por ejemplo, este tipo de servidor de seguridad garantiza que sólo el protocolo HTTP a través del puerto TCP 80. Este tratamiento es el tiempo de cálculo muy intensivo cuando el flujo se vuelve muy importante. Se justifica por el hecho de que cada vez más las redes utilizan unos protocolos de túnel TCP para eludir los puertos de filtrado.
Otra razón para la inspección de aplicaciones es la apertura de los puertos dinámicos. Algunos protocolos, como el famoso FTP intercambio modo pasivo entre cliente y servidor IP direcciones o puertos TCP / UDP. Estos protocolos se llaman «contenido sucio» o «firewall manera difícil», ya que el intercambio a nivel de aplicación (FTP) información sobre el nivel IP (intercambio de direcciones) o el nivel de TCP (intercambio de puertos). Esto viola el principio de separación de las capas de red. Por esta razón, los protocolos de «contenido sucio» pasan fácilmente o hay reglas. NAT dinámica, a menos que una inspección solicitud se hace en el protocolo.
Cada tipo de firewall sabe inspeccionar un número limitado de aplicaciones. Cada aplicación es administrada por un módulo diferente para activar o desactivar. La terminología para el concepto de módulo es diferente para cada tipo de servidor de seguridad: por ejemplo, HTTP proporciona acceso de lectura a un servidor con un comando GET, y escribir un comando PUT. Un firewall de aplicación será capaz de analizar una conexión HTTP y no permitir PONER comandos a un número limitado de máquinas.
Firewall ID
Un servidor de seguridad hace que la identificación de conexiones que pasan a través del filtro IP. El administrador puede definir reglas de filtrado de usuario en lugar de por la dirección IP o la dirección MAC, y así seguir la actividad de la red del usuario.
Varios métodos diferentes existen que se basan en las asociaciones entre IP y los usuarios llevadas a cabo por diversos medios. Authpf se puede hacer, por ejemplo (OpenBSD) usando ssh a la asociación. Otro método es la identificación por conexión (sin que esta IP = Asociación del usuario y por lo tanto sin comprometer la seguridad), hecha por ejemplo mediante suite de NuFW, que identifica también en máquinas multi-usuario.
También puede mencionarse que Cyberoam ofrece un firewall basado enteramente en la identidad (en realidad al hacer asociaciones MAC address = usuario) o Check Point hoja con la opción de NAC para crear la autenticación basada en reglas dinámicas Kerberos para una identidad de usuario de su cargo, así como su nivel de seguridad (presencia de virus, parches individuos).