Hogar › Servicios › ¿Qué es el cortafuegos? Tipos de cortafuegos

¿Qué es el cortafuegos? Tipos de cortafuegos

El número de incidentes relacionados con la seguridad de la información, según las principales agencias analíticas, aumenta constantemente. Los expertos responsables de la seguridad de la información señalan la creciente actividad de atacantes externos que utilizan los últimos avances en el campo de los ataques e intentan penetrar las redes corporativas para llevar a cabo sus acciones "sucias". No se limitan a robar información o desactivar nodos de la red. No es raro que se utilicen redes pirateadas para lanzar nuevos ataques. Por lo tanto, proteger el perímetro de un sistema de información es un elemento obligatorio del sistema de seguridad de la información de una organización.

Al mismo tiempo, para determinar la composición de los componentes de protección perimetral que brindan el nivel mínimo (inicial) de seguridad de la información, es necesario analizar las amenazas más comunes a los recursos de información de la organización:
ataques a la red destinados a hacer que los recursos de información no estén disponibles (por ejemplo, servidores web, servicios de correo electrónico, etc.) - ataques DoS y DDoS;
compromiso de recursos de información y escalada de privilegios tanto por parte de atacantes internos como externos, tanto con el fin de utilizar sus recursos como con el fin de causar daño;
acciones de código de software malicioso (virus, gusanos de red, troyanos, software espía, etc.);
fuga de información confidencial y robo de datos tanto a través de la red (correo electrónico, FTP, web, etc.) como a través de medios externos;
Varios ataques de red a aplicaciones.

Para minimizar las amenazas a la seguridad de la información, es necesario implementar firewalls en diferentes niveles del modelo OSI, como se muestra en la tabla.

Mesa. Cortafuegos y modelos OSI

El funcionamiento de todos los firewalls se basa en el uso de información de diferentes niveles del modelo OSI (tabla). El modelo OSI, desarrollado por la Organización Internacional de Normalización, define siete capas en las que los sistemas informáticos interactúan entre sí, desde el nivel del medio de transmisión físico hasta el nivel de los programas de aplicación utilizados para las comunicaciones. En general, cuanto mayor sea el nivel del modelo OSI en el que un firewall filtra paquetes, mayor será el nivel de protección que proporciona.

Se pueden seleccionar los siguientes métodos para monitorear el tráfico entre las redes locales y externas:
1. Filtrado de paquetes- basado en la configuración de un conjunto de filtros. Dependiendo de si el paquete entrante cumple las condiciones especificadas en los filtros, se pasa a la red o se descarta.
2. Esta clase de enrutadores es un traductor de conexiones TCP. El gateway acepta la solicitud de un cliente autorizado para servicios específicos y, después de verificar que la sesión solicitada es válida, establece una conexión con el destino (host externo). Después de esto, la puerta de enlace copia los paquetes en ambas direcciones sin filtrarlos. Como regla general, el destino se especifica de antemano, mientras que las fuentes pueden ser muchas. Usando diferentes puertos, puede crear una variedad de configuraciones de conexión. Este tipo de puerta de enlace le permite crear un traductor de conexiones TCP para cualquier servicio basado en TCP definido por el usuario, controlar el acceso a este servicio y recopilar estadísticas sobre su uso.
3. servidor proxy- Se instala un dispositivo de servidor proxy adicional entre las redes local y externa, que sirve como una "puerta" a través de la cual debe pasar todo el tráfico entrante y saliente. Inspección de estado- La inspección del tráfico entrante es una de las formas más avanzadas de implementar un firewall. La inspección significa analizar no todo el paquete, sino solo su parte clave especial y compararlo con valores previamente conocidos de la base de datos de recursos permitidos. Este método proporciona el mayor rendimiento del firewall y los retrasos más bajos.

El principio de funcionamiento de un firewall se basa en controlar el tráfico procedente del exterior.

Un firewall se puede implementar en hardware o software. La implementación específica depende del tamaño de la red, el volumen de tráfico y las tareas requeridas. El tipo más común de firewall es el software. En este caso, se implementa en forma de un programa que se ejecuta en el PC final o en un dispositivo de red perimetral, por ejemplo, un enrutador. En el caso de la implementación de hardware, un firewall es un elemento de red independiente, que normalmente tiene mayores capacidades de rendimiento, pero realiza tareas similares.

El firewall le permite configurar filtros que se encargan de pasar el tráfico según los siguientes criterios:
1. Dirección IP. Como sabe, cualquier dispositivo final que funcione con el protocolo IP debe tener una dirección única. Al especificar una determinada dirección o un determinado rango, puede prohibir la recepción de paquetes de ellos o, por el contrario, permitir el acceso solo desde estas direcciones IP.
2. Nombre de dominio. Como sabes, a un sitio web en Internet, o más precisamente a su dirección IP, se le puede asignar un nombre alfanumérico, que es mucho más fácil de recordar que un conjunto de números. Por lo tanto, el filtro se puede configurar para permitir el tráfico sólo hacia/desde uno de los recursos, o para denegar el acceso a él.
3. Puerto. Estamos hablando de puertos de software, es decir. puntos de acceso de aplicaciones a servicios de red. Por ejemplo, ftp usa el puerto 21 y las aplicaciones para ver páginas web usan el puerto 80. Esto le permite denegar el acceso a servicios y aplicaciones de red no deseados o, por el contrario, permitir el acceso solo a ellos.
4. Protocolo. El firewall se puede configurar para permitir el paso de datos de un solo protocolo o para denegar el acceso a través de él. Normalmente, el tipo de protocolo puede indicar las tareas realizadas por la aplicación que utiliza y el conjunto de parámetros de seguridad. De esta manera, el acceso se puede configurar para ejecutar solo una aplicación específica y evitar el acceso potencialmente peligroso utilizando todos los demás protocolos.

Arriba se enumeran solo los parámetros principales que se pueden configurar. También pueden aplicarse otras configuraciones de filtro específicas de la red, dependiendo de las tareas que se realicen en esa red.

Por lo tanto, un firewall proporciona un conjunto integral de tareas para evitar el acceso no autorizado, daño o robo de datos, u otros impactos negativos que podrían afectar la funcionalidad de la red. Normalmente, un firewall se utiliza junto con otras herramientas de seguridad, como el software antivirus.

Crear una política de filtrado para firewalls
Hay dos formas principales de crear conjuntos de reglas de firewall: "inclusivas" y "exclusivas". Un firewall excluyente permite el paso de todo el tráfico, excepto el que coincide con un conjunto de reglas. Un firewall inclusivo hace exactamente lo contrario. Sólo permite el tráfico que coincide con las reglas y bloquea todo lo demás.

Un firewall inclusivo proporciona un grado mucho mayor de control sobre el tráfico saliente. Por lo tanto, un firewall habilitador es la mejor opción para los sistemas que brindan servicios en Internet. También controla el tipo de tráfico generado externamente y dirigido a su red privada. El tráfico que no cumple las reglas se bloquea y se realizan las entradas apropiadas en el archivo de protocolo. Los cortafuegos inclusivos son generalmente más seguros que los exclusivos porque reducen significativamente el riesgo de que el cortafuegos permita el paso de tráfico no deseado.

La seguridad se puede mejorar aún más mediante el uso de un "firewall con estado". Un firewall de este tipo almacena información sobre conexiones abiertas y solo permite el tráfico a través de conexiones abiertas o la apertura de nuevas conexiones. La desventaja de un firewall con estado es que puede ser vulnerable a ataques de denegación de servicio (DoS) si se abren muchas conexiones nuevas muy rápidamente. La mayoría de los firewalls permiten una combinación de comportamiento con y sin estado, lo que le permite crear la configuración óptima para cada sistema específico.

Como ejemplo, considere la posibilidad de crear reglas de filtrado en un filtro de paquetes simple. Hay varias opciones posibles al filtrar paquetes. El más sencillo es el filtrado de direcciones; Consiste en comparar las direcciones del paquete con las direcciones especificadas en las reglas. Si las direcciones coinciden, se pasa el paquete. Esta comparación se hace de la siguiente manera:

1. Puede considerar la siguiente regla: todos los hosts de la red 10.1.x.x pueden comunicarse con los hosts de la red 10.2.x.x. Esta regla está escrita de la siguiente manera:

10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0
——- Origen —— —— Destino ——

Ahora puede aplicar la regla al paquete que se envía desde el host 10.1.1.2 al host 10.3.7.7. Apliquemos una máscara a ambas direcciones: la dirección de la regla y la dirección del paquete. Luego verifica si las direcciones de origen y destino son las mismas. Como resultado tendremos:

Para dirección de origen:

10.1.0.0 y 255.255.0.0 = 10.1.0.0 (para regla)
10.1.1.2 y 255.255.0.0 = 10.1.0.0 (para paquete)

Después de aplicar la mascarilla, ambas direcciones coinciden. Comprobemos ahora la dirección de destino:

10.2.0.0 y 255.255.0.0 = 10.2.0.0 (para regla)
10.3.7.7 y 255.255.0.0 = 10.3.0.0 (para paquete)

Dado que las direcciones de destino del paquete y la regla no coinciden después de aplicar la máscara, esta regla no debe aplicarse a este paquete.

Esta operación se realiza sobre toda la lista de direcciones y máscaras de origen y destino hasta llegar al final de la lista o hasta que el paquete coincida con una de las reglas. La lista de reglas tiene el siguiente formato:

10.1.1.2 & 255.255.255.255 — 10.2.0.0 & 255.255.0.0
10.3.3.2 & 255.255.255.255 — 10.1.2.1 & 255.255.255.255
10.1.1.0 & 255.0.0.0 — 10.2.3.0 & 255.255.255.0
10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0

Además de las direcciones de origen y destino, cada paquete IP contiene información sobre el protocolo y el servicio utilizado. Se puede utilizar como parámetro de filtrado adicional.

Por ejemplo, los servicios en el protocolo TCP siempre están asociados con un puerto. Como resultado, puede hacer coincidir la lista de puertos con direcciones.

Utilicemos dos servicios conocidos como ejemplo: POP3 y HTTP. POP3 usa el puerto 110 y HTTP usa el puerto 80. Por lo tanto, podemos agregar estos puertos a la descripción de la regla. Como resultado obtenemos:

10.1.0.0 y 255.255.0.0 — 10.2.0.0 y 255.255.0.0 TCP 80 110
—— Origen —— —— Destino —— Protocolo – Puertos —

Esta regla permite que cada paquete que viaja desde la red 10.1.x.x a la red 10.2.x.x que utiliza servicios HTTP y POP3 pase a través del firewall.

Primero, las direcciones de la regla se comparan con las direcciones del paquete. Si después de aplicar la máscara ambas direcciones coinciden, el protocolo y el puerto de destino en el paquete se compararán con el protocolo y la lista de puertos descritos en la regla. Si el protocolo coincide y el puerto de la regla es el mismo que el puerto del paquete, entonces el paquete cumple la regla. En caso contrario, la búsqueda continuará en la lista de reglas.

Dada esta nueva información, el conjunto de reglas tendrá el siguiente formato:

10.1.1.2 y 255.255.255.255 — 10.2.0.0 y 255.255.0.0 UDP 53
10.3.3.2 y 255.255.255.255 — 10.1.2.1 y 255.255.255.255 TCP 80
10.1.1.0 y 255.0.0.0 — 10.2.3.0 y 255.255.255.0 TCP 21 20 113
10.1.0.0 y 255.255.0.0 — 10.2.0.0 y 255.255.0.0 ICMP 0 8

Además de estos parámetros de filtrado básicos, puedes agregar varios más. Uno de ellos es la interfaz de red de origen; Al utilizar el nombre de la interfaz de red como parámetro de filtrado, puede permitir que paquetes con direcciones específicas pasen solo desde una interfaz determinada.

El propósito de este procedimiento es bloquear un ataque conocido como IP spoofing, cuya esencia es que un paquete con una dirección de origen falsa (de la red interna) se envía a la red interna. Al utilizar el nombre de la interfaz de red como parámetro, este tipo de ataque se puede bloquear fácilmente. Por ejemplo, si la red interna se comunica con el firewall a través de la interfaz de0, entonces solo necesita establecer las reglas de que los paquetes con una dirección de origen de la red interna deben aceptarse solo si provienen de esta interfaz; en todos los demás casos serán descartados.

En Odnoklassniki

Cortafuegos

Un firewall (Firewall o Firewall) es un medio para filtrar el tráfico de paquetes provenientes de una red externa en relación con una determinada red local o computadora. Consideremos los motivos de la aparición y las tareas realizadas por Firewall. Una red de datos moderna consta de muchos dispositivos remotos de alto rendimiento que interactúan entre sí a una distancia considerable. Una de las redes de transmisión de datos a mayor escala son las redes informáticas como Internet. Emplea simultáneamente millones de fuentes de información y consumidores en todo el mundo. El desarrollo generalizado de esta red permite que sea utilizada no solo por individuos, sino también por grandes empresas para unir sus dispositivos dispares en todo el mundo en una sola red. Al mismo tiempo, el acceso compartido a recursos físicos comunes abre la oportunidad para que estafadores, virus y competidores causen daño a los usuarios finales: roben, distorsionen, planten o destruyan información almacenada, violen la integridad del software e incluso eliminen el hardware del estación final. Para evitar estos impactos no deseados, es necesario impedir el acceso no autorizado, para lo cual se suele utilizar un Firewall. El mismo nombre Firewall (muro, del muro inglés) oculta su propósito, es decir. Sirve como un muro entre la red local protegida e Internet o cualquier otra red externa y previene cualquier amenaza. Además de lo anterior, un firewall también puede realizar otras funciones relacionadas con el filtrado del tráfico desde/hacia cualquier recurso de Internet.

El principio de funcionamiento del Firewall se basa en controlar el tráfico procedente del exterior. Se pueden seleccionar los siguientes métodos para monitorear el tráfico entre las redes local y externa:

1. Filtrado de paquetes– basado en la configuración de un conjunto de filtros. Dependiendo de si el paquete entrante cumple las condiciones especificadas en los filtros, se pasa a la red o se descarta.

2. servidor proxy– se instala un dispositivo de servidor proxy adicional entre las redes local y externa, que sirve como una "puerta" a través de la cual debe pasar todo el tráfico entrante y saliente.

3. Inspección de estado– La inspección del tráfico entrante es una de las formas más avanzadas de implementar un Firewall. Por inspección no nos referimos a analizar el paquete completo, sino solo su parte clave especial y compararla con valores previamente conocidos de la base de datos de recursos permitidos. Este método proporciona el mayor rendimiento del Firewall y los retrasos más bajos.

Un firewall se puede implementar en hardware o software. La implementación específica depende del tamaño de la red, el volumen de tráfico y las tareas requeridas. El tipo más común de Firewall es el software. En este caso, se implementa como un programa que se ejecuta en el PC final o en un dispositivo de red perimetral, por ejemplo. En el caso de la implementación de hardware, el Firewall es un elemento de red independiente, que normalmente tiene mayores capacidades de rendimiento, pero realiza tareas similares.

El firewall le permite configurar filtros que son responsables de pasar el tráfico de acuerdo con los siguientes criterios:

1. dirección IP. Como sabe, cualquier dispositivo final que funcione según el protocolo debe tener una dirección única. Al configurar una determinada dirección o un determinado rango, puede prohibir la recepción de paquetes de ellos o, por el contrario, permitir el acceso solo desde estas direcciones IP.

2. Nombre de dominio. Como sabes, a un sitio web en Internet, o mejor dicho a su dirección IP, se le puede asignar un nombre alfanumérico, que es mucho más fácil de recordar que un conjunto de números. Por lo tanto, el filtro se puede configurar para permitir el tráfico sólo hacia/desde uno de los recursos, o para denegar el acceso a él.

3. Puerto. Estamos hablando de puertos de software, es decir. puntos de acceso de aplicaciones a servicios de red. Por ejemplo, ftp usa el puerto 21 y las aplicaciones para ver páginas web usan el puerto 80. Esto le permite denegar el acceso a servicios y aplicaciones de red no deseados o, por el contrario, permitir el acceso solo a ellos.

4. Protocolo. El firewall se puede configurar para permitir el paso de datos de un solo protocolo o para denegar el acceso a través de él. Normalmente, el tipo de protocolo puede indicar las tareas que realiza, la aplicación que utiliza y el conjunto de parámetros de seguridad. De esta manera, el acceso se puede configurar para ejecutar solo una aplicación específica y evitar el acceso potencialmente peligroso utilizando todos los demás protocolos.

Por lo tanto, Firewall proporciona un conjunto integral de tareas para evitar el acceso no autorizado, daño o robo de datos, u otros impactos negativos que puedan afectar el rendimiento de la red. Normalmente, un firewall se utiliza junto con otras herramientas de seguridad, como el software antivirus.

Los cortafuegos son sistemas de software de protección especiales (cortafuegos) que impiden la entrada de archivos maliciosos a personas no autorizadas y también crean una barrera tanto para un ordenador individual como para toda la red local. Según su objetivo principal, estos programas tienen como objetivo no permitir el paso de paquetes sospechosos. recibió otro nombre: filtros. Hoy en día, los fabricantes más famosos de firewalls de seguridad son los siguientes: ZyXEL, Firewall, TrustPort Total Protection, ZoneAlarm, D-Link, Secure Computing, Watchguard Technologies.

Configurar cortafuegos

Los firewalls se configuran manualmente, lo que brinda la posibilidad de configurar una protección detallada. Una de las características más importantes es la configuración de un antivirus directamente en el puerto USB. Al establecer las configuraciones necesarias, puede usar dicho programa para crear un control completo sobre la entrada y salida en la red local y en cada dispositivo electrónico dentro de ella.

Al configurar manualmente una pantalla protectora en una de las computadoras de la red, puede transferir rápidamente configuraciones listas para usar a otras unidades de la red. Además, el funcionamiento sincrónico está garantizado incluso con una conexión de red inalámbrica. Configurar los parámetros necesarios del firewall lleva algún tiempo, pero si lo descuida, las restricciones de protección pueden bloquear algunos servicios necesarios para su funcionamiento.

Funciones adicionales de filtro de red

Hay firewalls que se pueden configurar para brindar protección adicional para servicios y aplicaciones individuales. Por ejemplo, para evitar el hackeo de “controles parentales” o instalar “antispam”. La configuración del acceso a Internet y los derechos de funcionamiento en una red local cerrada para cada programa y aplicación se puede determinar por separado. Un firewall le permite controlar el acceso a los sitios, puede monitorear el escaneo de puertas de enlace y filtrar el contenido web. También es capaz de bloquear el acceso desde direcciones IP sospechosas y notificar ataques o intentos de sondeo.

Tipos de cortafuegos

Los firewalls se dividen en los siguientes tipos:

Un firewall tradicional que proporciona filtrado de acceso para enviar y recibir paquetes;

Un firewall de sesión que monitorea sesiones individuales entre aplicaciones instaladas, asegurando el bloqueo oportuno del acceso a paquetes no certificados, que generalmente se usan para piratear, escanear datos confidenciales, etc.;

Firewall analítico que realiza filtrado basado en el análisis de la información de los paquetes internos con posterior bloqueo de los troyanos identificados;

Un firewall de hardware equipado con un acelerador incorporado que le permite implementar simultáneamente prevención de intrusiones (IPS), escaneo antivirus, prevención de usuarios dentro de una red privada y anonimato de VPN, así como realizar el rendimiento del firewall de manera más eficiente.

Precauciones

Para garantizar una seguridad confiable y de alta calidad contra intrusiones no autorizadas y piratería, es necesario instalar únicamente un firewall certificado en los nodos de la red. Actualmente, los actos legislativos de la Federación de Rusia prevén la certificación por parte de FSTEC, Gazpromsert y FSB. Por ejemplo, certifica que este filtro firewall cumple con todos los requisitos establecidos en la primera parte del documento de la Comisión Técnica Estatal de Rusia. Y los certificados del FSB muestran que el sistema de programas de protección cumple con la norma estatal rusa sobre los requisitos para garantizar la seguridad y confidencialidad de la información.

16.09.1999

Tipos de firewalls y tecnologías utilizadas en ellos.

Si vis pacem, para bellum (Si quieres la paz, prepárate para la guerra).

Konstantin Pyanzin Gracias a su arquitectura abierta, Internet se ha convertido en uno de los medios de comunicación más cómodos.

Tipos de firewalls y tecnologías utilizadas en ellos.

Si vis pacem, para bellum

(Si quieres la paz, prepárate para la guerra).

Konstantin Pyanzin

Gracias a su arquitectura abierta, Internet se ha convertido en uno de los medios de comunicación más convenientes. Al mismo tiempo, la apertura de Internet ha dado lugar a muchos problemas de seguridad. Aquí no podría encajar mejor el dicho: “Cada uno es para sí, sólo Dios es para todos”. Cualquier computadora conectada a Internet debe considerarse un objetivo potencial de ataque. El problema es especialmente grave en el caso de las organizaciones, ya que necesitan controlar el funcionamiento de una gran cantidad de ordenadores y dispositivos de red en Internet.
La seguridad al conectarse a Internet se garantiza mediante las siguientes herramientas especializadas:
cortafuegos;
escáneres de red diseñados para encontrar fallas y áreas potencialmente peligrosas dentro de las redes;
rastreadores o analizadores de protocolos que le permiten monitorear el tráfico entrante y saliente;

Un lugar importante en la lista de medios para garantizar una conexión segura a Internet lo ocupan los firewalls (a menudo llamados firewalls o, en inglés, firewall). Según el Documento Orientativo. Cortafuegos" de la Comisión Técnica Estatal del Presidente de la Federación de Rusia "un cortafuegos es una herramienta local (de un solo componente) o funcionalmente distribuida (compleja) que controla la información que entra y/o sale de un sistema automatizado y garantiza la protección de el sistema automatizado filtrando información, es decir, análisis basado en un conjunto de criterios y tomando una decisión sobre su distribución en (desde) un sistema automatizado”. Lamentablemente, esta definición es demasiado general e implica una interpretación demasiado amplia.

En el lenguaje común, los firewalls (cortafuegos) se refieren a medidas de seguridad instaladas entre una red pública (como Internet) y una red interna. El firewall cumple una doble función. En primer lugar, está diseñado para limitar el acceso a la red interna desde la red pública mediante el uso de filtros y herramientas de autenticación para que los atacantes no puedan obtener acceso no autorizado a la información ni interrumpir el funcionamiento normal de la infraestructura de la red. En segundo lugar, ME sirve para controlar y regular el acceso de los usuarios de la red interna a los recursos de la red pública cuando representan una amenaza para la seguridad o distraen a los empleados del trabajo (servidores pornográficos, de juegos, deportivos).

Pero ahora también se instalan cortafuegos dentro de las redes corporativas para restringir el acceso de los usuarios a recursos de red especialmente importantes, por ejemplo a servidores que contienen información financiera o información relacionada con secretos comerciales. También existen firewalls personales diseñados para regular el acceso a computadoras individuales e instalados en esas computadoras.

Es comprensible que los cortafuegos se utilicen para redes TCP/IP y se clasifican según la capa del Modelo de referencia de interconexión de sistemas abiertos (OSI). Sin embargo, debido a una serie de circunstancias, dicha clasificación es bastante condicional. En primer lugar, el modelo de red de redes TCP/IP proporciona sólo 5 capas (física, interfaz, red, transporte y aplicación), mientras que el modelo OSI tiene 7 capas (física, enlace, red, transporte, sesión, presentación y aplicación). Por tanto, no siempre es posible establecer una correspondencia uno a uno entre estos modelos. En segundo lugar, la mayoría de los cortafuegos fabricados permiten trabajar en varios niveles de la jerarquía OSI a la vez. En tercer lugar, algunas pantallas funcionan en un modo que es difícil de correlacionar con cualquier nivel de jerarquía estrictamente definido.

Sin embargo, la capa soportada del modelo de red OSI es la característica principal al clasificar los firewalls. Se distinguen los siguientes tipos de cortafuegos:

conmutadores gestionados (capa de enlace);
filtros de red (nivel de red);
puertas de enlace a nivel de sesión (proxy a nivel de circuito);
intermediarios de la capa de aplicación;
inspección de estado, que son firewalls a nivel de sesión con capacidades avanzadas.

También existe el concepto de "firewall de nivel experto". Estos cortafuegos suelen basarse en intermediarios a nivel de aplicación o inspectores estatales, pero necesariamente están equipados con puertas de enlace a nivel de sesión y filtros de red. Los cortafuegos expertos incluyen casi todos los cortafuegos comerciales del mercado.

Los cortafuegos pueden basarse en uno de dos principios mutuamente excluyentes para procesar paquetes de datos entrantes. El primer principio establece: “Lo que no está expresamente prohibido está permitido”. Es decir, si el ME recibió un paquete que no cae dentro de una de las restricciones aceptadas o no está identificado por las reglas de procesamiento, entonces se transmite más. El principio opuesto: “Lo que claramente no está permitido, está prohibido” garantiza una seguridad mucho mayor, pero supone una carga adicional para el administrador. En este caso, la red interna es inicialmente completamente inaccesible y el administrador establece manualmente las direcciones de red, protocolos, servicios y operaciones permitidas al comunicarse con la red pública.

Las reglas para procesar información en muchos firewalls de clase experta pueden tener una estructura jerárquica de varios niveles. Por ejemplo, pueden permitirle configurar el siguiente esquema: “Todas las computadoras de la red local son inaccesibles desde el exterior, con la excepción del acceso al servidor A a través del protocolo ftp y al servidor B a través del protocolo telnet, pero el acceso a El servidor A con la operación PUT del servicio ftp está prohibido”.

Los firewalls pueden realizar una de dos operaciones en los paquetes de datos entrantes: permitir que el paquete pase (permitir) o descartar el paquete (denegar). Algunos firewalls tienen otra operación: rechazar, en la que el paquete se descarta, pero se informa al remitente a través del protocolo ICMP que el servicio no está disponible en la computadora del destinatario. Por el contrario, durante la operación de denegación, no se informa al remitente que el servicio no está disponible, lo que es más seguro.

A continuación veremos con más detalle las ventajas y desventajas de cada tipo de firewall.

INTERRUPTORES

Los conmutadores de gama media y alta de Cisco, Bay Networks (Nortel), 3Com y otros fabricantes le permiten vincular direcciones MAC de tarjetas de red de computadoras a puertos de conmutador específicos. Además, muchos conmutadores ofrecen la capacidad de filtrar información según la dirección de la tarjeta de red del remitente o del destinatario, creando así redes virtuales (VLAN). Otros conmutadores le permiten organizar las VLAN en el nivel de puerto del propio conmutador. De esta manera, el conmutador puede actuar como un cortafuegos de enlace de datos.

Cabe señalar que la mayoría de los especialistas en seguridad de sistemas de información rara vez clasifican los conmutadores como firewalls. La razón principal de esta relación es que el área de filtrado del conmutador se extiende hasta el enrutador más cercano y, por lo tanto, no es adecuado para regular el acceso desde Internet.

Además, generalmente no es difícil falsificar la dirección de una tarjeta de red (muchas tarjetas Ethernet le permiten cambiar o agregar direcciones de capa de enlace mediante programación) y este enfoque de seguridad es extremadamente poco confiable. Es cierto que organizar redes virtuales a nivel del puerto del conmutador es más confiable, pero, nuevamente, está limitado por la red local.

Sin embargo, si se sigue la interpretación literal del "Documento Guía" de la Comisión Técnica Estatal, los conmutadores con la capacidad de crear VLAN son firewalls.

FILTROS DE POTENCIA

Los filtros de red operan en el nivel de red de la jerarquía OSI (consulte la Figura 1). Un filtro de red es un enrutador que procesa paquetes en función de la información contenida en los encabezados de los paquetes. Existen filtros de red para redes TCP/IP e IPX/SPX, pero estos últimos se utilizan en redes locales, por lo que no los consideraremos.

Al procesar paquetes, tienen en cuenta la siguiente información:

Dirección IP del remitente;
Dirección IP del destinatario;
protocolo (TCP, UDP, ICMP);
número de puerto del software del remitente;
número de puerto del software del receptor.

Basándose en esta información, el administrador establece reglas según las cuales los paquetes pasarán a través del filtro o serán descartados por este. Por ejemplo, un filtro de red le permite implementar el siguiente esquema de intercambio de datos entre computadoras en una red corporativa e Internet:

todas las computadoras de la red corporativa tienen la capacidad de comunicarse con servidores web y ftp externos, pero no con telnet, NNTP, etc.;
el acceso externo está prohibido a todas las computadoras de la red corporativa, excepto el acceso al servidor A vía HTTP y al servidor B vía ftp; Además, la computadora externa Z puede acceder al servidor interno C y a cualquier servicio TCP y UDP, pero no a ICMP.

Los filtros de red son muy fáciles de implementar, por lo que se han generalizado y están representados en implementaciones de hardware-software y puramente software. En particular, los enrutadores de Cisco, Bay Networks (una división de Nortel) y otros fabricantes están equipados con funciones de filtrado de red, por lo que dichos enrutadores se denominan enrutadores de filtrado. La lista de filtros de red de software es aún más impresionante y la mayoría de ellos son utilidades gratuitas o shareware. Se implementan para muchas plataformas de red, incluidas UNIX, Windows NT, NetWare, VMS, MVS.

Desafortunadamente, la desventaja de la facilidad de implementación y el bajo precio de los filtros de red es la complejidad de su administración y la escasa seguridad contra ataques.

Los filtros de red utilizan principalmente filtrado estático, donde el administrador tiene que crear un filtro para cada tipo único de paquete que debe procesarse. Expliquemos esto con un ejemplo. Digamos que a todas las computadoras se les niega el acceso a Internet de forma predeterminada. Sin embargo, la computadora Z (dirección IP 123.45.67.89) necesita acceso al servidor externo A (dirección IP 211.111.111.111), que proporciona el servicio telnet. En este caso, el administrador debe establecer dos reglas:

omita el paquete si se transmite desde la interfaz de red de la red interna a la interfaz de red de la red externa y tiene los siguientes parámetros: dirección IP del remitente 123.45.67.89, dirección IP del destinatario 211.111.111.111, protocolo de capa de transporte TCP, software del remitente puerto mayor que 6000, destinatario del puerto de software 23;
omita el paquete si se transmite desde la interfaz de red de la red externa a la interfaz de red de la red interna y tiene los siguientes parámetros: dirección IP del remitente 211.111.111.111, dirección IP del destinatario 123.45.67.89, protocolo de capa de transporte TCP, software del remitente puerto 23, puerto de software del destinatario superior a 6000.

Así, para cada canal de intercambio de datos es necesario establecer dos reglas (filtros); En el caso de conexiones multicanal (por ejemplo, para el servicio FTP), el número de reglas aumenta en consecuencia. Para una red grande, la lista de reglas alcanza un tamaño impresionante, en el que es fácil que un administrador se confunda. Es cierto que los filtros de red generalmente le permiten combinar reglas para un subconjunto de computadoras basadas en subredes IP.

Debido a que el firewall escanea la tabla de reglas en orden secuencial a medida que recibe cada paquete, cada nueva regla reduce el rendimiento general del enrutador.

Varios fabricantes (en particular, Novell en la utilidad FILTCFG.NLM) proporcionan filtrado y filtrado dinámico o contextual (con estado) de fragmentos de paquetes IP, pero en términos de características es más probable que pertenezcan a la categoría de sesión- puertas de enlace de nivel y, por lo tanto, se analizarán más adelante.

Otro problema, especialmente para los filtros de red gratuitos, es la imposibilidad de crear una estructura de reglas jerárquica. Por ejemplo, en el caso del principio "lo que no está explícitamente permitido está prohibido", el filtro primero revisa la lista de excepciones, y si el paquete no se ajusta a más de una excepción, entonces, de acuerdo con el principio especificado, el paquete es eliminado. Si el paquete cumple con al menos una excepción, se transmite. Sin embargo, imagine esta situación: la red está cerrada al acceso externo, pero un servidor debe ser accesible al mundo exterior a través del protocolo ftp. Todo esto se puede organizar perfectamente mediante un filtro de red, con la excepción de un pequeño pero muy desagradable detalle: no se pueden imponer restricciones adicionales al acceso al servidor a través de ftp. Por ejemplo, en este caso es imposible denegar el acceso desde el ordenador Z, que utiliza el atacante. Además, un pirata informático puede transmitir paquetes al servidor con una dirección de remitente correspondiente a la dirección de una computadora en la red interna (el tipo más peligroso de suplantación de paquetes IP). Y el filtro de red dejará pasar dicho paquete. Para evitar tales problemas, los administradores se ven obligados a instalar dos filtros conectados secuencialmente para implementar reglas de filtrado jerárquico.

Los filtros contra sobretensiones tienen una serie de desventajas fundamentales. En primer lugar, la autenticación (o más precisamente, la identificación) del remitente se realiza únicamente a partir de la dirección IP. Sin embargo, al utilizar la suplantación de IP, un atacante puede superar dicha barrera sin mucho esfuerzo. Además, una persona que no tenga derecho a trabajar con el servidor puede, en principio, sentarse frente a un ordenador autorizado. La autenticación basada en nombre de usuario y contraseña es mucho más segura, pero no es posible utilizarla en filtros de red.

El filtro de red no puede monitorear el funcionamiento de las aplicaciones de red y, en general, no controla el contenido de los paquetes de las capas de transporte, sesión y aplicación. Por lo tanto, la presencia de un filtro de red no protegerá la red corporativa de ataques como la inundación SYN (consulte la barra lateral), de ataques relacionados con la fragmentación de paquetes y de intrusiones a través de servicios a nivel de aplicación.

La principal ventaja (además del precio y la facilidad de implementación) de los filtros de red es su altísimo rendimiento, mucho mayor que el de los firewalls a nivel de sesión y aplicación. A pesar de sus graves deficiencias, un firewall es una parte integral de cualquier firewall de nivel experto. Sin embargo, es sólo uno de sus componentes, ya que funciona en conjunto con una puerta de enlace en un nivel superior de la jerarquía OSI. En este diseño, el filtro de red impide la comunicación directa entre las redes interna y externa (excepto para computadoras predefinidas). Todo el filtrado básico, pero en niveles OSI superiores, lo organiza una puerta de enlace del nivel correspondiente o un inspector estatal.

PASARELAS A NIVEL DE SESIÓN

Las puertas de enlace a nivel de sesión, como su nombre indica, operan en el nivel de sesión de la jerarquía OSI. Sin embargo, en el modelo de red TCP/IP no existe ninguna capa que corresponda exclusivamente a la capa de sesión OSI. Por lo tanto, las puertas de enlace a nivel de sesión incluyen filtros que no se pueden identificar ni con las capas de red, de transporte ni de aplicación.

Los filtros de nivel de sesión tienen varias variedades dependiendo de sus características funcionales, pero esta clasificación es bastante arbitraria, ya que sus capacidades se superponen en gran medida. Debe recordarse que los firewalls incluyen todos o la mayoría de los tipos de puertas de enlace de capa de sesión.

FILTROS PARA SEGUIMIENTO DEL ESTADO DEL CANAL DE COMUNICACIÓN

Los filtros para monitorear el estado de un canal de comunicación a menudo incluyen filtros de red (nivel de red) con capacidades avanzadas.

Filtrado dinámico en filtros de red. A diferencia del filtrado estático estándar en los filtros de red, el filtrado dinámico (con estado) le permite asignar solo una regla a cada canal de comunicación en lugar de varias reglas de filtrado. En este caso, el propio filtro dinámico monitorea la secuencia de intercambios de paquetes de datos entre el cliente y el servidor, incluidas las direcciones IP, el protocolo de la capa de transporte, los números de puerto del remitente y del destinatario y, a veces, los números de secuencia de los paquetes. Está claro que dicho filtrado requiere RAM adicional. El rendimiento de un filtro dinámico es algo inferior al de un filtro estático.

Filtrar paquetes fragmentados. Cuando se transmiten a través de redes con diferentes MTU, los paquetes IP pueden dividirse en fragmentos separados, y solo el primer fragmento siempre contiene el encabezado completo del paquete de la capa de transporte, incluida la información del puerto de software. Los filtros de red convencionales no pueden verificar fragmentos distintos del primero y dejarlos pasar (si se cumplen los criterios para las direcciones IP y el protocolo utilizado). Debido a esto, los atacantes pueden organizar peligrosos ataques de denegación de servicio generando deliberadamente una gran cantidad de fragmentos y bloqueando así el funcionamiento del ordenador que recibe los paquetes. El filtro de paquetes fragmentados no permite el paso de fragmentos a menos que el primero falle en el registro.

Control de bits SYN y ACK. Varios filtros le permiten monitorear los bits SYN y ACK en paquetes TCP. Todos ellos están diseñados para combatir ataques de inundación SYN (ver barra lateral), pero utilizan enfoques diferentes. El filtro más simple prohíbe la transmisión de paquetes TCP con el bit SYN, pero sin el bit ACK, desde la red pública a ordenadores de la red interna, a menos que estos últimos hayan sido declarados explícitamente servidores para la red externa (o al menos para una red específica). grupo de computadoras en la red externa). Desafortunadamente, un filtro de este tipo no ayuda con los ataques de inundación SYN en máquinas que son servidores de la red externa, pero que se encuentran en la red interna.

Para estos fines, se utilizan filtros especializados con un orden de múltiples etapas para establecer conexiones. Por ejemplo, el filtro SYNDefender Gateway del firewall FireWall-1 de Check Point funciona de la siguiente manera. Digamos que la computadora externa Z está intentando establecer una conexión con el servidor interno A a través del firewall Firewall. El procedimiento de establecimiento de conexión se muestra en la Figura 2. Cuando el firewall recibe un paquete SYN de la computadora Z (paso 1), este paquete se transmite al servidor A (paso 2). En respuesta, el servidor A envía un paquete SYN/ACK a la computadora Z, pero el firewall lo intercepta (paso 3). A continuación, el ME reenvía el paquete recibido al ordenador Z; además, el ME, en nombre del ordenador Z, envía un paquete ACK al servidor A (paso 4). Debido a la rápida respuesta del servidor A, la memoria del servidor asignada para establecer nuevas conexiones nunca estará llena y el ataque de inundación SYN no funcionará.

Lo que suceda a continuación depende de si la computadora Z realmente ha iniciado una conexión con el servidor A. Si es así, la computadora Z enviará un paquete ACK al servidor A, que pasa a través del firewall (paso 5a). El servidor A ignorará el segundo paquete ACK. Luego, el firewall pasará paquetes libremente entre las computadoras A y Z. Si el firewall no recibe un paquete ACK o expira el tiempo de espera para establecer una conexión, enviará un paquete RST al servidor A, cancelando la conexión (paso 5b).

El filtro SYNDefender Relay del mismo Check Point FireWall-1 funciona de forma un poco diferente. Antes de transmitir el paquete SYN al servidor A, el firewall primero establece una conexión con la computadora Z. El procedimiento de establecimiento de conexión para este caso se muestra en la Figura 3. Solo después de recibir el paquete ACK de la computadora Z el firewall inicia una conexión con el servidor A. (paso 3). Obviamente, una vez establecidas las conexiones, el firewall se verá obligado a cambiar dinámicamente los valores de los campos Número de secuencia y Número de reconocimiento en todos los paquetes TCP transmitidos entre las computadoras A y Z, lo que reduce el rendimiento.

PASARELAS AMPLIAS DIRECCIONES O PROTOCOLOS DE RED

Quizás la puerta de enlace a nivel de sesión más famosa sea la puerta de enlace de traducción de direcciones de red (NAT). Cuando se utiliza una puerta de enlace NAT, la red interna tiene direcciones que son invisibles (e incluso no registradas) en la red pública. Cuando la computadora interna accede al exterior, la puerta de enlace intercepta la solicitud y actúa en nombre del cliente, utilizando su dirección IP externa (registrada). La puerta de enlace transmite la respuesta recibida a la computadora interna (después de sustituir la dirección interna de la computadora), actuando como un enlace de transmisión. Esto le permite matar dos pájaros de un tiro: reducir drásticamente el número de direcciones IP registradas y controlar el flujo de información, es decir, asignar o denegar el acceso a Internet a computadoras individuales.

Las puertas de enlace NAT pueden funcionar en uno de cuatro modos: dinámico, estático, estático con selección dinámica de direcciones IP y combinado.

En modo dinámico, a veces llamado traducción de dirección de puerto (PAT), la puerta de enlace tiene una única dirección IP externa. Todas las llamadas a la red pública (Internet) de los clientes de la red interna se realizan utilizando esta dirección externa, mientras que la puerta de enlace opera solo en puertos de interfaz externos, es decir, cuando un cliente llama, la puerta de enlace asigna un puerto de software de protocolo de transporte único (UDP , TCP) para la dirección IP externa. Una puerta de enlace NAT puede tener grupos de hasta 64.000 puertos TCP, 64.000 puertos UDP y 64.000 puertos ICMP (ICMP no utiliza el término "puerto", pero los desarrolladores de puertas de enlace lo utilizan para enfatizar el principio de traducción de paquetes), aunque algunas implementaciones la capacidad de los grupos puede ser mucho menor que estos valores; por ejemplo, en Novell BorderManager, cada grupo contiene 5000 puertos.

El modo dinámico está destinado a redes cuyas computadoras actúan exclusivamente como clientes de recursos de Internet.

En modo estático, a la interfaz externa de la puerta de enlace se le asignan tantas direcciones IP registradas como computadoras en la red interna. A cada computadora en la red interna se le asigna una dirección IP externa única de la puerta de enlace. Al intercambiar datos entre redes internas y públicas, la puerta de enlace traduce las direcciones IP internas a externas y viceversa. El modo estático es necesario si las computadoras de la red interna funcionan como servidores de Internet.

El modo estático con selección dinámica de direcciones IP es similar al modo estático, excepto que a las computadoras internas no se les asignan direcciones IP externas predefinidas (estáticamente), sino que se reservan dinámicamente de un grupo de direcciones IP externas.

El modo combinado implica el uso simultáneo de varios de los modos anteriores y está destinado a redes donde hay tanto clientes como servidores de Internet.

Además de las deficiencias generales de las puertas de enlace de la capa de sesión (ver más abajo), las puertas de enlace NAT tienen su propio defecto específico: no admiten aplicaciones de red cuyos paquetes de la capa de aplicación contengan direcciones IP. La única excepción es el servicio ftp, para el cual la mayoría de las puertas de enlace NAT pueden controlar (y cambiar) las direcciones IP dentro de los paquetes de la capa de aplicación.

La segunda desventaja de las puertas de enlace NAT es que no admiten la autenticación a nivel de usuario, sino sólo a nivel de dirección IP, lo que las hace vulnerables a ataques de suplantación de IP. Además, las puertas de enlace NAT no pueden evitar ataques de denegación de servicio, en particular la inundación SYN, por lo que solo tiene sentido utilizarlas junto con otros tipos de puertas de enlace de capa de aplicación y/o sesión. Además de las puertas de enlace NAT, son bien conocidas las puertas de enlace IPX/IP, diseñadas para proporcionar acceso a Internet a ordenadores que operan en redes IPX/SPX. Cuando un cliente de red interna realiza una solicitud a un servidor de Internet, la puerta de enlace intercepta la solicitud y genera el paquete IP correspondiente en lugar del paquete IPX. Cuando llega una respuesta del servidor, la puerta de enlace realiza la conversión inversa. Quizás este sea el tipo de puerta de enlace más fiable, ya que la red interna tiene un entorno de software fundamentalmente diferente en comparación con TCP/IP. Hasta el momento no se ha producido ni un solo caso de piratería de dicha infraestructura. Además, a diferencia de las puertas de enlace NAT, la autenticación en las puertas de enlace IPX/IP se lleva a cabo no solo a nivel de direcciones de red informática, sino también a nivel de usuario utilizando información de la base de datos NDS (para NetWare 4.x y 5.x) o ENCUADERNACIÓN (para NetWare 3.x). Sin embargo, dicha autenticación sólo es posible cuando se accede desde la red interna a Internet, con la excepción del caso en que el cliente externo utiliza NetWare basado en TCP/IP.

INTERMEDIARIOS A NIVEL DE SESIÓN

Los agentes de la capa de sesión primero, como mínimo, registran al cliente antes de permitir que se establezcan conexiones TCP entre computadoras en las redes interna y externa. No importa de qué lado (externo o interno) esté este cliente. Si el resultado del registro es positivo, se organiza un canal virtual entre las computadoras externa e interna, a través del cual se transmiten paquetes entre redes. A partir de ahora, el intermediario no interfiere con el proceso de intercambio de datos y no filtra información. Pero este esquema es general; las implementaciones específicas de puertas de enlace a nivel de aplicación pueden tener sus propias características. El intermediario de capa de sesión más conocido y popular es el intermediario SOCKS 5, que actúa como un servidor SOCKS 5. Cuando un cliente intenta comunicarse con un servidor en el otro lado del intermediario, su cliente SOCKS se pone en contacto con el servidor SOCKS, donde. no solo se produce el registro, sino también un servidor SOCKS, sino también una autenticación completa basada en el nombre de usuario y la contraseña. La autenticación se puede organizar de modo que la contraseña se transmita de forma cifrada. Si el resultado de la autenticación es positivo, el intermediario SOCKS permite que el cliente se conecte al servidor y ya no interfiere con el intercambio de información. Sin embargo, el servicio SOCKS 5 permite cifrar la transmisión de datos entre el cliente y el intermediario mediante el protocolo SSL. Teniendo en cuenta estas características, es obvio que el uso de un broker SOCKS 5 es especialmente relevante en una situación en la que el servidor está en una red interna y el cliente en una red pública. Pero no se debe descartar el caso en el que los clientes internos acceden a recursos de Internet, ya que el intermediario SOCKS 5 permite regular el acceso a nivel de nombres de usuario y contraseñas. La desventaja de los intermediarios de SOCKS es la necesidad de instalar software especializado (la parte del cliente de SOCKS) en el sitio de cada cliente.

DESVENTAJAS COMUNES DE LAS PASARELAS A NIVEL DE SESIÓN

La principal desventaja de las puertas de enlace a nivel de sesión es la incapacidad de regular la transferencia de información a nivel de aplicación y, como resultado, monitorear acciones incorrectas o potencialmente peligrosas del usuario. Por ejemplo, no le permitirán controlar la ejecución del comando PUT del servicio ftp ni filtrar aplicaciones ActiveX de máquinas externas, si dicha operación está permitida para clientes internos.

Aunque el uso de puertas de enlace a nivel de sesión puede evitar una serie de ataques peligrosos en la red interna, algunos tipos de ataques, como la denegación de servicio, pueden evitar estas puertas de enlace. Con la excepción de la puerta de enlace IPX/IP y el corredor SOCKS 5, todos los demás filtros tienen un sistema de identificación y autenticación muy débil basado en las direcciones IP del remitente/destinatario. A su vez, el uso de gateways IPX/IP y SOCKS 5 trae consigo sus propios problemas, ya que requiere la instalación de software especializado en las máquinas cliente.

Con la excepción de las puertas de enlace IPX/IP y SOCKS 5, otras puertas de enlace de capa de sesión no suelen estar disponibles como producto comercial. Sin embargo, todos los firewalls expertos deben estar equipados con una variedad de puertas de enlace a nivel de sesión (así como filtros de red), ya que los intermediarios a nivel de aplicación o los inspectores estatales no pueden monitorear las transferencias de datos en niveles inferiores de la jerarquía OSI.

MEDIADORES DE SOLICITUD

Los proxies a nivel de aplicación, a menudo llamados servidores proxy, monitorean y filtran información en el nivel de aplicación de la jerarquía OSI (consulte la Figura 4). Los intermediarios se diferencian por los protocolos a nivel de aplicación que admiten: cuantos más, más caro será el producto. Los servicios más comúnmente admitidos son Web (HTTP), ftp, SMTP, POP3/IMAP, NNTP, Gopher, telnet, DNS, RealAudio/RealVideo. Cuando un cliente de la red interna accede, por ejemplo, a un servidor web, su solicitud va a (o es interceptada por) un intermediario web. Este último establece una conexión con el servidor en nombre del cliente y transfiere la información recibida al cliente. Para un servidor externo, el corredor actúa como cliente y para un cliente interno, actúa como servidor web. El intermediario puede funcionar de manera similar en el caso de un cliente externo y un servidor interno.

Los intermediarios de la capa de aplicación se dividen en transparentes y opacos. Los intermediarios transparentes son invisibles para los clientes y servidores: el cliente contacta al servidor de la forma más normal y el intermediario intercepta la solicitud y actúa en nombre del cliente. Los intermediarios transparentes para el servicio web son especialmente populares; los proveedores de Internet los instalan a menudo para mejorar el rendimiento y reducir la carga en los canales de comunicación globales mediante el almacenamiento en caché de información.

En el caso de intermediarios opacos, el sistema cliente debe configurarse explícitamente para trabajar con el intermediario (por ejemplo, cuando se utiliza un intermediario web opaco, la dirección IP del intermediario y el puerto TCP asignado se deben especificar en la configuración del navegador). opciones). Los intermediarios opacos son buenos cuando se requiere una autenticación sólida al entrar o salir de una red interna, especialmente para servicios que no admiten cifrado de contraseña. Normalmente se trata de servicios telnet y ftp y utilizan un sistema de contraseña de un solo uso (OTP) (para obtener más información sobre los sistemas OTP, consulte el artículo "Gestión remota de sistemas operativos de red" en LAN No. 5, 1999).

La Figura 5 muestra un ejemplo típico de uso de telnet. Aquí el cliente, utilizando el sistema OTP, establece una conexión con el servidor tn.anywhere.com, ubicado detrás del intermediario opaco fw.anywhere.com. El usuario primero debe registrarse con el intermediario proporcionando primero su nombre, en respuesta a lo cual se le transfiere un desafío (673 jar564). Usando la calculadora OTP, el usuario calcula la frase de contraseña, que ingresa en el campo Contraseña. A continuación, informa la dirección del servidor con el que va a establecer conexión. Cabe señalar que no es necesario registrarse en el servidor tn.anywhere.com, ya que el firewall y este servidor comparten una base de datos común de cuentas de usuario.

Una desventaja común de los intermediarios opacos es su falta de transparencia hacia el software del cliente y los usuarios. No todos los programas cliente se pueden configurar, por ejemplo, para intermediarios opacos SMTP, POP3, IMAP4, DNS, ftp.

A diferencia de las puertas de enlace de la capa de sesión, los intermediarios de la capa de aplicación procesan sólo aquellos paquetes de datos de la capa de aplicación cuyos servicios admiten, y los paquetes de protocolos desconocidos (para el intermediario) o no configurados se eliminan de la circulación. Por ejemplo, si el intermediario está configurado para servir únicamente el servicio ftp, no permitirá el paso de paquetes telnet o HTTP.

El intermediario de la capa de aplicación verifica el contenido de cada paquete de datos. Además, el corredor filtra paquetes a nivel de operaciones de servicios de red específicas. Por ejemplo, Raptor Firewall de AXENT Technologies le permite filtrar paquetes ftp que contienen un comando PUT.

Los intermediarios de la capa de aplicación deben admitir una autenticación sólida utilizando el sistema operativo o uno de los servicios de directorio (dominios) NDS, Windows NT, NIS/NIS+ o RADIUS, TACACS, etc.

La desventaja de estas capacidades de los intermediarios de la capa de aplicación es su bajo rendimiento (para aquellos servicios de red que no proporcionan almacenamiento en caché de información). Además, para cada conexión TCP, el intermediario se ve obligado a establecer dos canales de comunicación: uno con el servidor y el otro con el cliente. Pero conviene recordar que el cuello de botella de las conexiones a Internet son principalmente las lentas líneas de comunicación globales, por lo que el bajo rendimiento de los intermediarios a nivel de aplicación se puede hablar de forma muy provisional.

Los intermediarios web ocupan un lugar especial entre los intermediarios de la capa de aplicación porque, junto con el control del tráfico, almacenan información en caché. Debido a su funcionalidad, los intermediarios web se han convertido en una rama independiente del desarrollo de software, por lo que analizaremos este servicio con más detalle a continuación.

INTERMEDIARIOS WEB

El servicio web es el principal en Internet global. Sin embargo, los canales de comunicación lentos y el uso intensivo de gráficos y multimedia en las páginas web provocan una disminución de la productividad de los usuarios en Internet. Mientras tanto, los usuarios acceden muy a menudo a los mismos recursos de Internet. Por lo tanto, para aumentar la velocidad de acceso, todos los navegadores populares almacenan en caché la información. Sin embargo, en un entorno corporativo, el almacenamiento en caché a nivel de computadora individual no puede resolver todos los problemas, ya que a menudo usuarios completamente diferentes acceden a los mismos recursos, especialmente si trabajan en la misma organización. Obviamente, la mejor manera de combatir el bajo rendimiento de la WAN es instalar un proxy de almacenamiento en caché web en el borde de la red interna. Además, este enfoque le permite reducir la carga en los canales de comunicación de Internet y, por lo tanto, ahorrar dinero o iniciar servicios de red adicionales.

Los intermediarios de almacenamiento en caché web se instalan incluso en lugares donde no se requiere autenticación de usuario o filtrado de información, sino únicamente con el fin de mejorar el rendimiento.

Hay cuatro tipos de almacenamiento en caché de información en intermediarios web:

pasivo;
activo;
negativo;
jerárquico.

Los intermediarios web modernos más potentes pueden admitir los cuatro tipos de almacenamiento en caché. Con el almacenamiento en caché pasivo (también conocido como almacenamiento en caché básico o bajo demanda), el cliente utiliza un navegador web para contactar a un proxy, y el proxy devuelve la información solicitada desde su caché, si existe allí. De lo contrario, el intermediario web se pone en contacto con el servidor web.

El almacenamiento en caché activo supone que el intermediario tiene cierta inteligencia. El almacenamiento en caché se realiza por adelantado (lectura anticipada), antes de recibir una solicitud explícita del cliente. Por ejemplo, el navegador solicita una página web que contiene imágenes u otros elementos. El intermediario no esperará solicitudes explícitas del cliente para intercambiar estos componentes e intentará obtenerlos de forma independiente, por así decirlo, con antelación. El almacenamiento en caché activo se produce en segundo plano, lo que mejora el rendimiento.

El almacenamiento en caché negativo implica errores de almacenamiento en caché. Si el navegador solicita una página que el intermediario no puede recibir (sin conexión o porque la página no está disponible en el servidor), entonces el rechazo se almacena en caché. Al contactar nuevamente, el cliente recibirá inmediatamente una respuesta negativa. Sin embargo, el intermediario seguirá intentando obtener la página solicitada en segundo plano. El almacenamiento en caché negativo en los intermediarios web es un desarrollo reciente en la llamada segunda generación de intermediarios desarrollados de acuerdo con la tecnología Harvest/Squid. Los intermediarios creados en el marco de la antigua tecnología del CERN no almacenan en caché los fallos e intentan ponerse en contacto con el servidor web en todo momento.

El almacenamiento en caché jerárquico es otro avance de la tecnología Harvest/Squid. De acuerdo con esto, los intermediarios pueden formar estructuras jerárquicas complejas con conexiones iguales o subordinadas. Por ejemplo, una organización tiene dos canales de Internet de igual rendimiento. Se instala un intermediario en cada canal y se determinan relaciones iguales entre ellos. En este caso, si la información solicitada no está en el caché, el intermediario no recurrirá al servidor de Internet, sino al segundo intermediario. Si el segundo intermediario tiene la información necesaria en su caché, será transferida al primer intermediario y luego al cliente. De lo contrario, el primer intermediario se verá obligado a contactar con el propio servidor web. En las relaciones entre padres e hijos, el mediador infantil nunca accede al servidor web, sino sólo a través del padre. Estos esquemas reducen significativamente la carga en las líneas de comunicación globales y aumentan la tolerancia a fallos de la conexión. El almacenamiento en caché jerárquico se organiza de acuerdo con uno de dos protocolos de almacenamiento en caché estandarizados: ICP (Protocolo de almacenamiento en caché de Internet) o CARP (Protocolo de enrutamiento de matriz de caché). Aunque CARP se desarrolló más tarde que ICP, se ha generalizado más porque elimina el almacenamiento en caché redundante de información entre intermediarios.

Figura 6. Almacenamiento en caché directo web.

Además de los tipos de almacenamiento en caché (pasivo, activo, negativo y jerárquico), los intermediarios también se diferencian en los modos de almacenamiento en caché: directo e inverso. El almacenamiento en caché directo es algo a lo que todos estamos acostumbrados. Es decir, el intermediario se instala en la entrada de la red interna y almacena en caché la información de los servidores de Internet para los clientes de la red interna (ver Figura 6). Con un proxy transparente, es posible que los clientes ni siquiera sean conscientes de su existencia, mientras que con un proxy opaco, sus coordenadas deben especificarse en las opciones del navegador.

Figura 7. Almacenamiento en caché inverso web.

El almacenamiento en caché inverso implica atender a clientes externos que solicitan información de servidores ubicados en la red interna de la organización. Es decir, a un intermediario con almacenamiento en caché inverso se le asigna uno o más servidores web, desde los cuales descarga información. Es mejor instalar dicho intermediario en un proveedor de Internet para reducir la carga en el canal de comunicación con el proveedor y aumentar el rendimiento de los clientes externos que acceden al servidor web (ver Figura 7). Un mediador de almacenamiento en caché debe ser transparente para los usuarios externos. Sin embargo, esto solo es posible con el almacenamiento en caché inverso de un solo servidor (solo un servidor puede vincularse al puerto 80 del protocolo TCP, que es responsable del servicio HTTP, en el intermediario; para otros servidores es necesario asignar otros puertos ). Sin embargo, con la ayuda de manipulaciones no muy complicadas, el trabajo de un intermediario al almacenar en caché varios servidores a la vez puede resultar casi transparente para los clientes.

Algunos intermediarios le permiten almacenar información en caché sin conexión, actuando esencialmente como un navegador sin conexión.

El almacenamiento en caché de información es, por supuesto, una característica muy atractiva de los brokers web, pero no debemos olvidarnos de otras capacidades específicas de los brokers de capa de aplicación. Los intermediarios web son capaces de admitir una autenticación sólida de usuarios, filtrar aplicaciones Java y ActiveX, escanear en busca de virus y regular el acceso de los usuarios a URL específicas. Además, se proporcionan programas especiales para intermediarios web que contienen listas de servidores pornográficos, racistas, de juegos y de entretenimiento. Con la ayuda de dichos programas, al administrador le resulta fácil regular el acceso a dichos nodos.

INSPECTORES DE CONDICIÓN

Los inspectores estatales, o firewalls de inspección de estado, son esencialmente puertas de enlace de capa de sesión con capacidades avanzadas. Check Point acuñó el término "inspector de salud" para resaltar la diferencia entre su tecnología y otras tecnologías de firewall. Los inspectores estatales operan a nivel de sesión, pero también comprenden los protocolos a nivel de aplicación (ver Figura 8). Es decir, cuando se recibe un paquete de datos, el contenido de este paquete se compara con ciertas plantillas específicas del protocolo de capa de aplicación correspondiente. Y dependiendo del resultado de la comparación, el paquete se transmite o se descarta. Cuanto más poderoso sea el inspector estatal, mayor será la lista de plantillas que tendrá. Si un paquete no coincide con ninguna plantilla, será eliminado.

A diferencia del intermediario de la capa de aplicación, que abre dos canales virtuales TCP (uno para el cliente y otro para el servidor) para cada conexión, el inspector de estado no impide una conexión directa entre el cliente y el servidor. Debido a esto, el rendimiento del inspector estatal es mucho mayor que el rendimiento de los intermediarios de la capa de aplicación y se acerca al rendimiento de los filtros de red. Es cierto que los desarrolladores de intermediarios de la capa de aplicación apuntan a un mayor nivel de seguridad para sus productos, ya que el tráfico se controla directamente en la capa de aplicación. Pero la mayoría de los expertos consideran que tales declaraciones son controvertidas o, al menos, no obvias. ¿Quién, por ejemplo, se atrevería a decir que el cortafuegos Check Point FireWall-1, que es un inspector de estado, no es suficientemente fiable cuando posee el 40% del mercado de cortafuegos y ha recibido muchos de los premios más prestigiosos, incluso en materia de seguridad?

Por su parte, los desarrolladores de los inspectores de estado señalan que sus sistemas son mucho más ampliables. Cuando aparece un nuevo servicio o un nuevo protocolo de capa de aplicación, sólo necesita agregar algunas plantillas para admitirlo. Al mismo tiempo, los desarrolladores intermediarios de la capa de aplicación se ven obligados a escribir un módulo desde cero para cada nuevo protocolo. Eso es cierto, pero agregar un módulo al intermediario de la capa de aplicación no es más difícil que agregar plantillas al inspector estatal. Además, los fabricantes de inspectores de estado e intermediarios de la capa de aplicación están acostumbrados a resolver el problema de forma radical, lanzando una nueva versión del producto.

La única ventaja de los inspectores estatales (sin afectar la cuestión del rendimiento) en comparación con los intermediarios a nivel de aplicación es que el inspector estatal es absolutamente transparente para los clientes y no requiere configuración adicional del software del cliente. Sin embargo, los inspectores estatales clásicos, a su vez, no son adecuados para el almacenamiento en caché web. Por lo tanto, incluso si el firewall se basa en un inspector de estado, incluye un proxy web de capa de aplicación para el almacenamiento en caché web.

De hecho, el debate sobre si es mejor un inspector estatal o un mediador de la capa de aplicación parece carecer de fundamento. Para la mayoría de las tareas son aproximadamente equivalentes. La ventaja de desempeño de los inspectores estatales no es particularmente importante cuando se trata de conectarse a Internet a través de canales de comunicación lentos.

Los cortafuegos expertos se basan en tecnología de inspector estatal o en tecnología de mediador de capa de aplicación, pero necesariamente se complementan con filtros de red y puertas de enlace de capa de sesión. La gran mayoría de los firewalls lanzados son servidores proxy de capa de aplicación, pero como se señaló anteriormente, los inspectores de salud (o más bien un inspector, el FireWall-1 de Check Point) dominan el mercado.

OTRAS CARACTERÍSTICAS DEL FIREWALL

Además de realizar sus funciones básicas, los firewalls de clase experta tienen un sistema bien pensado para registrar eventos y alertar a los administradores. ME le permite registrar todas las solicitudes de los usuarios a los recursos que pasan por la pantalla, incluido quién, cuándo, desde qué máquina accedió a un recurso específico o fue rechazado. El registro le permite identificar casos de ataques a la red interna, detectar la ubicación del pirata informático y bloquear su tráfico con anticipación.

Un componente de la mayoría de los firewalls comerciales de nivel experto son las herramientas de redes privadas virtuales que le permiten cifrar información cuando se transmite a través de una red pública. Además, incluso algunos filtros de red basados en enrutadores de hardware tienen este tipo de herramientas.

Una parte considerable de los cortafuegos están equipados con herramientas para dar soporte a usuarios remotos, incluidos medios potentes para autenticar a dichos usuarios.

CONCLUSIÓN

Los firewalls no son una panacea para combatir ataques maliciosos. No pueden prevenir ataques dentro de la red local, pero junto con otras medidas de seguridad desempeñan un papel extremadamente importante en la protección de las redes contra intrusiones externas. Comprender la tecnología de los firewalls le permite no solo tomar la decisión correcta al comprar un sistema de seguridad, sino también configurar correctamente el firewall. ¡El enemigo no debe pasar!

Konstantin Pyanzin es columnista de LAN. Se le puede contactar en: [correo electrónico protegido]

A mediados de los 90, el ataque de inundación SYN fue uno de los más comunes. Explota las deficiencias de la máquina del protocolo TCP. El ataque de inundación SYN se incluye en la categoría de ataques de denegación de servicio (DoS), que hacen que la computadora se congele, es decir, la computadora continúa funcionando, pero deja de estar disponible a través de la red.

Cuando una computadora cliente establece una conexión con un servidor utilizando el protocolo TCP, envía un paquete TCP con el bit SYN establecido. En respuesta, el servidor envía un paquete TCP con bits SYN/ACK. A su vez, el cliente envía un paquete TCP con el bit ACK. Después de esto, la conexión entre el cliente y el servidor se considera establecida. Este esquema de conexión se denomina de tres etapas porque implica el intercambio de tres paquetes.

Cuando el servidor recibe un paquete SYN, asigna memoria adicional para la nueva conexión. La mayoría de los sistemas operativos tienen un límite (generalmente diez) para cada servicio de red en la cantidad de conexiones TCP recién creadas (algunos sistemas no tienen ese límite, pero esto no es mucho mejor, ya que si no hay memoria libre, toda la computadora se congelará, no solo un servicio específico). Hasta que el servidor reciba un paquete SYN/ACK o un paquete RST (ver más abajo) o hasta que la conexión recién creada expire (generalmente 75 segundos), la conexión continúa reservando memoria.

El ataque de inundación SYN implica enviar múltiples paquetes TCP con el bit SYN configurado al servidor en nombre de hosts inexistentes o que no funcionan (mediante el uso de suplantación de direcciones IP). El último requisito es importante, porque si una solicitud para establecer una conexión llega en nombre de un host en funcionamiento, cuando el servidor envía un paquete SYN/ACK a su dirección, el host responderá con un paquete RST (reinicio), iniciando una reinicio de conexión. Y la conexión se eliminará de la memoria del servidor.

Durante un ataque de inundación SYN, la memoria del servidor asignada para establecer nuevas conexiones se agota rápidamente y el servicio de red se congela.

Para contrarrestar los ataques de inundación SYN, además de aumentar el tamaño de la memoria para las conexiones establecidas y reducir el tiempo de espera, se utilizan varias contramedidas ingeniosas en los firewalls. Instalar firewalls de sesión y de capa de aplicación o inspectores estatales soluciona radicalmente el problema de los ataques de inundación SYN, ya que son ellos quienes reflejan todos los ataques, mientras que los ordenadores de la red interna ni siquiera los conocen.

Existen varios tipos de firewalls dependiendo de las siguientes características:

si el escudo proporciona una conexión entre un nodo y una red o entre dos o más redes diferentes;

si el control del flujo de datos se produce en la capa de red o en niveles superiores del modelo OSI;

si se monitorean o no los estados de las conexiones activas.

Según la cobertura de los flujos de datos controlados, los cortafuegos se dividen en:

red tradicional (o firewall): un programa (o una parte integral del sistema operativo) en una puerta de enlace (un dispositivo que transmite tráfico entre redes) o una solución de hardware que controla los flujos de datos entrantes y salientes entre las redes conectadas (objetos de red distribuida) ;

El firewall personal es un programa instalado en la computadora de un usuario y diseñado para proteger solo esta computadora del acceso no autorizado.

Dependiendo del nivel OSI en el que se produce el control de acceso, los firewalls pueden operar en:

nivel de red, cuando el filtrado se produce en función de las direcciones del remitente y del destinatario de los paquetes, los números de puerto de la capa de transporte del modelo OSI y las reglas estáticas especificadas por el administrador;

nivel de sesión(también conocido como con estado), cuando se monitorean sesiones entre aplicaciones y no se pasan paquetes que violan las especificaciones TCP/IP, a menudo se usa en operaciones maliciosas: escaneo de recursos, piratería a través de implementaciones TCP/IP incorrectas, conexiones caídas/lentas, inyección de datos;

nivel de aplicación(o nivel de aplicación), cuando el filtrado se realiza basándose en el análisis de los datos de la aplicación transmitidos dentro del paquete. Este tipo de pantallas le permiten bloquear la transmisión de información no deseada y potencialmente dañina según políticas y configuraciones.

Filtrado a nivel de red.

El filtrado de paquetes entrantes y salientes se realiza en base a la información contenida en los siguientes campos de los encabezados TCP e IP de los paquetes: dirección IP del remitente; Dirección IP del destinatario; puerto emisor; puerto del destinatario.

El filtrado se puede implementar de diversas formas para bloquear conexiones a computadoras o puertos específicos. Por ejemplo, puedes bloquear conexiones provenientes de direcciones específicas de aquellos ordenadores y redes que se consideren poco fiables.

costo relativamente bajo;

flexibilidad para definir reglas de filtrado;

un ligero retraso en el paso de los paquetes.

Defectos:

no recopila paquetes fragmentados;

¿No hay forma de rastrear las relaciones (conexiones) entre paquetes?

Filtrado a nivel de sesión

Dependiendo del monitoreo de las conexiones activas, los firewalls pueden ser:

apátrida(filtrado simple), que no monitorean las conexiones actuales (por ejemplo, TCP), sino que filtran el flujo de datos basándose únicamente en reglas estáticas;

estado, inspección de paquetes con estado (SPI)(filtrado consciente del contexto), monitoreando las conexiones actuales y pasando solo aquellos paquetes que satisfacen la lógica y los algoritmos de los protocolos y aplicaciones correspondientes.

Los firewalls con SPI permiten combatir de manera más efectiva varios tipos de ataques DoS y vulnerabilidades de algunos protocolos de red. Además, proporcionan el funcionamiento de protocolos como H.323, SIP, FTP, etc., que utilizan esquemas complejos de transferencia de datos entre destinatarios que son difíciles de describir mediante reglas estáticas y, a menudo, son incompatibles con firewalls estándar sin estado.

Las ventajas de dicha filtración incluyen:

análisis del contenido de paquetes;

no se requiere información sobre el funcionamiento de los protocolos de capa 7.

Defectos:

es difícil analizar datos a nivel de aplicación (posiblemente usando ALG - puerta de enlace a nivel de aplicación).

La puerta de enlace a nivel de aplicación, ALG (puerta de enlace a nivel de aplicación) es un componente de un enrutador NAT que comprende un protocolo de aplicación y, cuando los paquetes de este protocolo pasan a través de él, los modifica de tal manera que los usuarios detrás de NAT puedan usar el protocolo.

El servicio ALG brinda soporte para protocolos a nivel de aplicación (como SIP, H.323, FTP, etc.) para los cuales no se permite la traducción de direcciones de red. Este servicio determina el tipo de aplicación en los paquetes provenientes de la interfaz de red interna y, en consecuencia, realiza la traducción de dirección/puerto para ellos a través de la interfaz externa.

La tecnología SPI (Stateful Packet Inspection) o tecnología de inspección de paquetes que tiene en cuenta el estado del protocolo es hoy en día un método avanzado de control de tráfico. Esta tecnología permite el control de datos hasta el nivel de la aplicación sin necesidad de un intermediario o aplicación proxy independiente para cada protocolo o servicio de red protegido.

Históricamente, los cortafuegos han evolucionado desde filtros de paquetes de uso general hasta middlewares específicos de protocolo e inspección de estado. Las tecnologías anteriores sólo se complementaban entre sí, pero no proporcionaban un control integral sobre las conexiones. Los filtros de paquetes no tienen acceso a la información del estado de la aplicación y la conexión que es necesaria para que el sistema de seguridad tome una decisión final. Los programas de middleware solo procesan datos a nivel de aplicación, lo que a menudo crea varias oportunidades para piratear el sistema. La arquitectura de inspección de estado es única porque le permite manejar toda la información posible que pasa a través de la máquina de puerta de enlace: datos de paquetes, datos del estado de la conexión, datos que necesita la aplicación.

Un ejemplo del mecanismocon estadoInspección. El firewall monitorea la sesión FTP examinando los datos en el nivel de la aplicación. Cuando un cliente solicita al servidor que abra una conexión inversa (comando FTP PORT), el firewall extrae el número de puerto de esa solicitud. La lista almacena direcciones y números de puerto de clientes y servidores. Cuando se detecta un intento de establecer una conexión de datos FTP, el firewall escanea la lista y verifica si la conexión es realmente una respuesta a una solicitud válida del cliente. La lista de conexiones se mantiene dinámicamente para que solo estén abiertos los puertos FTP necesarios. Tan pronto como se cierra la sesión, los puertos se bloquean, proporcionando un alto nivel de seguridad.

Arroz. 2.12. Un ejemplo del mecanismo de inspección de estado que funciona con el protocolo FTP

Filtrado a nivel de aplicación

Para proteger una serie de vulnerabilidades inherentes al filtrado de paquetes, los firewalls deben utilizar programas de aplicación para filtrar conexiones a servicios como Telnet, HTTP, FTP. Una aplicación de este tipo se denomina servicio proxy y el host en el que se ejecuta el servicio proxy se denomina puerta de enlace a nivel de aplicación. Una puerta de enlace de este tipo elimina la interacción directa entre un cliente autorizado y un host externo. La puerta de enlace filtra todos los paquetes entrantes y salientes en la capa de aplicación (capa de aplicación: la capa superior del modelo de red) y puede analizar el contenido de los datos, como una URL contenida en un mensaje HTTP o un comando contenido en un mensaje FTP. A veces es más eficaz filtrar paquetes basándose en la información contenida en los propios datos. Los filtros de paquetes y los filtros a nivel de enlace no utilizan el contenido del flujo de información al tomar decisiones de filtrado, pero el filtrado a nivel de aplicación puede hacerlo. Los filtros a nivel de aplicación pueden utilizar información del encabezado del paquete, así como contenido de datos e información del usuario. Los administradores pueden utilizar el filtrado a nivel de aplicación para controlar el acceso según la identidad del usuario y/o según la tarea específica que el usuario intenta realizar. En los filtros a nivel de aplicación, puede establecer reglas basadas en los comandos emitidos por la aplicación. Por ejemplo, un administrador puede evitar que un usuario específico descargue archivos a una computadora específica mediante FTP, o permitir que un usuario aloje archivos a través de FTP en la misma computadora.

Las ventajas de dicha filtración incluyen:

reglas de filtrado simples;

posibilidad de organizar un gran número de inspecciones. La protección a nivel de aplicación permite una gran cantidad de comprobaciones adicionales, lo que reduce la probabilidad de piratería mediante agujeros en el software;

Capacidad para analizar los datos de la aplicación.

Defectos:

rendimiento relativamente bajo en comparación con el filtrado de paquetes;

¿El proxy debe comprender su protocolo (imposibilidad de uso con protocolos desconocidos)?;

Por regla general, se ejecuta en sistemas operativos complejos.

Popular en la categoría: