Arquitecturas de Firewalls

Dual-Homed Host Arcuitecture

Una dual-homed host architecture esta construída como un host dual-homed, una computadora con dos interfaces de red. Tal host actua como router entre las dos redes que el conoce, es capáz de rutear paquetes IP desde una red a otra. Pero los paquetes IP de una red a la otra no son ruteados directamente. El sistema interno al Firewall puede comunicarse con el dual-homed host, y los sistemas fuera de Firewall también pueden comunicarse con él, pero los sistemas no pueden comunicarse directamente entre ellos.
El dual-homed host puede proveer varios niveles altos de control.

Screened Host Architecture

Esta arquitectura provee servicios desde un host que está en la red interna, usando un router separado. La principal seguridad está dada por el filtrado de paquetes.
Un host Bastion esta situado en la red interna. Los paquetes filtrados por el "screening router" son seteados de tal manera que el host bastion es la única máquina de la red interna a la que los host de Internet pueden abrir conecciones ( por ejemplo un deliver incoming email). Solo cierto tipo de conecciones con permitidas. Cualquier sistema externo que intente acceder al sistema interno deberá conectarse con este host. El host Bastion necesita entonces tener un alto nivel de seguridad.
El filtrado de paquetes también deben permitir al host Bastion abrir conecciones al mundo exterior.
La configuración del filtardo de paquetes en un "screening router" debe hacerse como sigue:

  1. Permitir a otros host internos conexiones con otros hosts de Internet para ciertos servicios (permitiendo esos servicios con paquetes filtrados)
  2. No permitir todas las conexiones desde hosts internos (forzar a esos hosts a usar el servicio de proxy via el host bastión)

Se puede mezclar y machear estas aproximaciones para diferentes servicios: algunos pueden ser permitidos directamente filtrando paquetes, mientras que otros directamente via proxy.
Existen algunas desventajas; la principal es que si un ataque rompe el host bastion, esto no es notado por la red interna. El router también presenta un punto de falla. Si el router está comprometido, la red entera está disponible para ser atacada.

Screened Subnet Architecture

Es la arquitectura más pupular. Agrega un nivel extra de seguridad que la arquitectura "screened host", agregando un perímetro a la red, que aisla fuertemente la red interna de Internet.
Los hosts bastiones son las máquinas más vulnerables en la red. Aunque se esfuerce en protegerse, estas son las máquinas que pueden ser atacadas, porque ellas son las máquinas que son vistas por la red externa.
Si su red interna es muy abierta, es un objetivo tentador. No hay otra defensa entre esta máquina y las máquinas internas.
Al aislar el host bastion en un perímetro, se puede reducir el impacto de atacar al host bastion.
Esta arquitectuta tiene dos "screening router", cada uno conectado al perímetro. Uno esta situado entre el perímetro y la red interna y otro entre el perímetro y la red externa. Para destruir la red interna con este tipo de arquitectura, el atacante debe pasar por ambos routers.
Si un atacante logra destruir al host bastion, deberá lograr pasar por el router interno.
Algunos sitios crearon una serie de perímetros entre el mundo externo y la red. Los servicios más peligrosos son pasados de los perímetros más externos a los más internos. La idea es que un ataque a una máquina en el perímetro más externo tendrá una tarea ardua para atacar a las máquinas internas porque deberá atacar todos los niveles de seguridad de todos los demás perímetros.

  1. Perímetro: Es un nivel de seguridad, una red adicional entre la red externa y la interna. Si un ataque logra romper el firewall más externo, el perímetro ofrecerá un nivel adicional de protección entre la red interna y el atacante.
  2. Host bastion: Situado en perímetro, este host es el punto de contacto para establecer comunicación desde el mundo exterior
  3. Router exterior: Situado entre le mundo externo y el perímetro. Realiza un filtrado de paquetes. La regla de filtrado de paquetes debe ser esencialmente la misma en ambos routers. Las reglas de filtrado de paquetes son las que protegen las máquinas del perímetro ( el host bastion y el router interno ); por lo tanto no es necesario una protección muy fuerte, porque los hosts del perímetro son hosts de seguridad
  4. Router Interior: Ubicado entre la red interna y el perímetro. Este router no realiza el principal filtrado de paquetes. El permite seleccionar servicios de la red interna.Los servicios que este router permite entre el host bastion y la red interna no necesariamente son los mismos que permite el router externo. La razón para limitar los servicios entre el host bastion y la red interna es que reduce el número de máquinas que pueden ser atacadas desde el host bastion.