Fuego, fuego, fuego!!! …

Suena la campana y salta la alerta…


Primer timbre: Zona perimetral INTERNET


Segundo timbre: La columna vertebral del perímetro


Tercer timbre: Los recursos de red


Cuarto timbre: La seguridad local del equipo


¡Primer aviso!


La frontera con Internet.


     Primer punto de ataque desde equipos externos, la unión con Internet. Debido a esto, la mayoría de administradores de red piensan que aquí es el sitio adecuado para su mejor cortafuegos. Si no piensas mucho en ello, tiene sentido, pero si consideras que esta idea pasa por tu mente como un simple asegurar algo más en este mundo, entonces no pondrás el cortafuegos más seguro y sofisticado sino el más rápido.


     Después de diversas lecturas creo que apuesto por la idea de utilizar un cortafuegos hardware en este punto, ya que pueden ser capaces de asumir un alto tráfico, realizar un filtrado de paquetes básico y permitir la entrada sólo a los servicios que proporcionamos a usuarios remotos. Mientras es una aproximación que proporciona una medida pequeña de seguridad, es rápida y suficiente como primera protección en una red moderna.


¡Segundo aviso!


     Aquí se marca una línea entre la red interna y los cortafuegos del perímetro frente a Internet. Proporciona un lugar para que el resto de segmentos de red se conecten. El tráfico suele ser menor por la presencia de más puntos fortificados que dan entrada a cada segmento, es decir, más cortafuegos en la columna. El cortafuegos de la primera línea de defensa recibe el total de tráfico y debe ir repartiéndolo hacia los cortafuegos siguientes, así contando que hay más de uno, el tráfico va disminuyendo.


    Estos cortafuegos inician realmente el trabajo de cortafuegos de red: inspección dinámica del tráfico de entrada y salida en la capa de aplicación. Los exploits se arman en dicha capa, así que estos cortafuegos realizan el trabajo de comprobar la validez de las comunicaciones que se mueven a través de ella.


     Este es el mejor lugar para un cortafuegos del tipo ISA Server 2004, que cumple con el modelo de inspección dinámica mencionado.


¡Tercer aviso!


Frontera entre la columna vertebral y las redes con recursos corporativos. Estos recursos pueden estar representados por estaciones de trabajo, servidores, LANs de departamentos, administración de redes y cualquier otro que queremos proteger de accesos no autorizados. Este es el lugar en que necesitamos el más duro y sofisticado nivel de defensa, ya que los intrusos si son capaces de violar la integridad de esta zona, disponen de acceso directo sobre los recursos y por tanto están en disposición de llevar a cabo un ataque con éxito.


Es en este nivel donde un cortafuegos se vuelve crítico. En contraste con un dispositivo hardware de filtrado de paquetes, se necesita una protección efectiva y real de cortafuegos. Un filtrado de paquetes aquí es inadecuado cuando se trata de defender los recursos de una red de esta zona. No sólo hemos de asegurar que todas las conexiones entrantes están sujetas a una profunda inspección a nivel de aplicación, también se ha de controlar que dejamos los recursos de las redes bajo un control de accesos de usuario/grupo fuerte.


Un requerimiento absoluto es un control de acceso fuerte basado en usuario/grupo. Frente al filtrado de paquetes, un cortafuegos aquí debe ser capaz de controlar las conexiones de salida basadas en la pertenencia del usuario/grupo. Las razones:




  • Hemos de ser capaces de registrar los nombres de usuario de todas las conexiones de salida y poder controlar la responsabilidad de los usuarios en su actividad en internet.


  • Hemos de ser capaces de registrar las aplicaciones que usan los usuarios para acceder a los contenidos de internet; esto nos permite determinar si aplicaciones no permitidas para su uso lo están siendo y nos habilita para tomar contramedidas.


  • Nuestra organización puede ser declarada responsable legalmente del material depositado en nuestra red (pornografía, virus, ataques); por tanto hemos de ser capaces de bloquear el material inapropiado.


  • La información corporativa sensible puede ser transferida fuera de la red desde ubicaciones de esta zona. Hemos de ser capaces de bloquearlo y registrar los nombres de usuarios y aplicaciones que los usuarios usan para dichas transferencias a sitios externos de nuestra red.

ISA Server tiene un comportamiento en esta zona ideal, ya que cumple con todos estos requerimientos. Cuando el sistema se encuentra trás el cortafuegos correctamente configurado como cortafuegos y como clientes Web Proxy, somos capaces de:




  • Registrar los nombres de usuario para todas las conexiones TCP y UDP hechas hacia Internet(o cualquier otra red para la que el usuario deba conectar a través del cortafuegos)


  • Registrar las aplicaciones usadas por los usuarios para hacer estas conexiones TCP y UDP a través del cortafuegos.


  • Bloquear conexiones hacia cualquier dominio o dirección IP, basado en el nombre de usuario o pertenencia a grupo.


  • Bloquear el acceso a cualqueir contenido externo a la red, basado en el nombre de usuario o pertenencia a grupo.


  • Bloquear la transferencia de información desde esta zona hacia otra red, basado en el nombre de usuario o pertenencia a grupo.

Toda esta profunda inspección dinámica de la capa de aplicación y el control de acceso necesita alto procesamiento. Debemos tener nuestros servidores preparados eficientemente para éllo. Afortunadamente incluso con el establecimiento de reglas complicadas, el cortafuegos ISA Server 2004 es capaz de manejar bien sobre 1,5GB/s por servidor, y hasta volúmenes de tráfico mayores con la configuración hardware apropiada.


¡Cuarto aviso!


La última alerta la tenemos aquí, la seguridad basada en el equipo. Esto representa la conexión entre los equipos y la red a la que directamente se encuentran. Cualquier aproximación a la seguridad basada en el equipo es un tanto diferente a la que normalmente vemos en la protección de cortafuegos de red, pero los principios son los mismos. Aquí se requiere que controlemos cuales son las entradas y salidas permitidas desde el equipo y cuales son las aplicaciones que están diseñadas con seguridad. Algunas de las cosas a considerar cuando tratamos con seguridad de equipos son:




  • usar un cortafuegos basado en equipo (personal) para controlar las conexiones entrantes y salientes y que aplicaciones pueden enviar y recibir datos.


  • Implementar políticas IPSec (en sistemas que sean compatibles) que nos servirán para controlar lo que se permite de entrada y salida desde y hacia equipos específicos.


  • Las aplicaciones y servicios ejecutándose en los equipos deben ser diseñadas pensando en la seguridad. Esto significa que no sean vulnerables a los ataques comunes como los desbordamientos de buffer y los de ingeniería social (como los exploits de e-mails o al abrir adjuntos).


  • Debería utilizarse software anti-virus para el bloqueo de los virus que llegan desde otras redes o vienen disfrazados de actualizaciones o programas.


  • Usar software anti-malware para proteger los equipos y prevenir la instalación de este u otro software malicioso.


  • Usar software anti-spam si el equipo dispone de cliente de correo electrónico.

Este es el último punto de defensa, la última alerta. La seguridad de cortafuegos perimetral es útil para controlar el acceso desde una red a otra y los ataques desde redes no locales que deben atravesar el ISA Server 200x, pero sólo la seguridad a nivel de equipo puede manejar ataques desde la propia red de área local donde las conexiones no pasan por el cortafuegos de red.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *