next up previous contents
Next: Supervisión en UNIX. Up: Seguridad en red Previous: El demonio in.routed

Firewalls(cortafuegos)

Si se abre la máquina a internet puede ser una buena idea tener una única máquina conectada a la red[Cur90]. Esta máquina puede configurarse como lo que se denomina firewall. Básicamente un firewall conste en una máquina en la que se ha desactivado el enrutamiento de IP. Mediante este servicio una máquina encamina paquetes de aquellas que se encuentran en su tabla de enrutamiento. En Solaris 2 existe la posibilidad de hacerlo con el comando ndd:

# ndd /dev/ip ip_forwardind 0
Si se a nade esta línea al fichero /etc/rc2.d/S69inet se desactiva definitivamente el encaminamiento de paquetes. El construir un firewall, responde la necesidad de proteger nuestra red de accesos no autorizados[Ran94], y sobre todo para prevenir la salida de información no comunicada o bien no autorizada. Montar un firewall en una red requiere centrar todos los esfuerzos de seguridad en la máquina que configuramos como tal. Es importante que su seguridad no se vea comprometida, porque si no, dejamos al descubierto nuestra red local. Algunos de los componentes comunes dentro de las distintas configuraciones cuando conectamos nuestro sistema a un firewall son los siguientes:
Router Apantallado.
Puede ser un router comercial, o bien, un host configurado a tal efecto que tenga capacidad de filtrar paquetes. Tienen capacidad de bloquear el tráfico procedente de determinados hosts.
Host Bastión.
Es el punto de la red crítico en cuanto a seguridad, debido a que si su seguridad es violada nuestra red se puede ver comprometida. Generalmente tienen software de seguridad y tienen un control exhaustivo de los audits.
Gateway dual.
Algunos firewalls se construyen sin el primero de los elementos, simplemente conectando un host sin enrutamiento IP entre nuestra red e internet. Podemos comunicarnos desde nuestra red con el gateway, o desde fuera con el mismo, pero no se permite tráfico directo entre ambas redes.
Gateway de host apantallado.
Es posiblemente la estructura más común para firewals. Se construye a partir de un router apantallado y un host bastión. Este último se sitúa en nuestra red local, y el primero se configura de tal forma que sea el host bastión el único de nuestra red al que se puede llegar desde internet. Además en el router se bloquea el tráfico con destino a ciertos puertos del host bastión, permitiendo sólo la utilización de un reducido número de servicios.

Existen más configuraciones de firewalls, pero estas vistas son las más comunes. Es importante cuando se tiene un firewall controlar ciertos aspectos como:
  1. Control de da nos. Si el firewall cae, hay que tener claros los pasos que se deben seguir.
  2. Zonas de riesgo. Ver lo grande que es la zona de riesgo durante la operación normal del firewall. Una medida de esto puede ser el número de hosts y router que pueden ser probados desde fuera.
  3. Modo de fallos. Si se traspasa el firewall, hay que comprobar si va a ser fácil de detectar, para ello hay que ver la información que se guarda para poder diagnosticar el ataque.
  4. Facilidad de uso. Medir los inconvenientes que plantea el firewall.
  5. Postura. Es la idea básica de dise no de un firewall: ``Aquello que no está expresamente prohibido, está permitido''.


next up previous contents
Next: Supervisión en UNIX. Up: Seguridad en red Previous: El demonio in.routed



Celestino Gomez Cid (adm)
Fri Mar 22 16:20:52 MET 1996