¿Qué es un cortafuegos?
¡Hola! La respuesta a su pregunta es la siguiente: Firewall es un término general para un tipo de medidas preventivas que aísla la red interna de Internet u otras redes externas y restringe el acceso mutuo a la red para proteger la red interna. Se puede implementar un firewall simple usando solo un enrutador, mientras que un firewall complejo se puede implementar usando un host o incluso una subred. El propósito de configurar un firewall es establecer un canal único entre la red interna y la red externa y simplificar la gestión de seguridad de la red.
Las funciones del firewall son:
1. Filtrar servicios inseguros y usuarios ilegales
2 Controlar el acceso a sitios especiales
>3. Proporcionar puntos finales convenientes para monitorear la seguridad de Internet y la alerta temprana
Debido a la apertura de Internet, los firewalls con muchas funciones de prevención también tienen algunas cosas que no se pueden prevenir:
1 Los cortafuegos no pueden proteger contra ataques que no atraviesan el cortafuegos. Por ejemplo, si se permite la marcación saliente sin restricciones desde una red protegida, algunos usuarios podrían establecer una conexión directa a Internet, evitando así el firewall y creando un potencial canal de ataque de puerta trasera.
2. Los cortafuegos no pueden impedir la transmisión de software o archivos infectados por virus. Esto sólo se puede hacer instalando un software antivirus en cada host.
3. Los firewalls no pueden prevenir ataques basados en datos. Los ataques basados en datos ocurren cuando datos aparentemente inofensivos se envían por correo o se copian a un host de Internet y se ejecutan para lanzar un ataque.
Por lo tanto, los cortafuegos son sólo una parte de una política de seguridad general. Esta política de seguridad debe incluir lineamientos de seguridad pública para que los usuarios conozcan sus responsabilidades, programas de capacitación del personal y políticas relacionadas con el acceso a la red, autenticación de usuarios local y remota, llamadas salientes y entrantes, cifrado de discos y datos, y protección contra virus.
Características de los cortafuegos
Los cortafuegos generales tienen las siguientes características:
1 Amplio soporte de servicio: al combinar capacidades dinámicas de filtrado de la capa de aplicación con autenticación, se puede lograr una combinación. Navegador WWW, servidor HTTP, FTP, etc.;
2. Soporte de cifrado para datos privados: garantizar que las redes privadas virtuales y las actividades comerciales a través de Internet no se dañen;
3. La autenticación del cliente solo permite a los usuarios designados acceder a la red interna o seleccionar servicios: una parte adicional de la comunicación segura entre la red local de la empresa y las sucursales, socios comerciales y usuarios móviles;
4. es un método común para obtener acceso a la red desde el exterior, lo que hace que el paquete de datos parezca provenir del interior de la red. El firewall puede monitorear dichos paquetes de datos y desecharlos;
5. Modo C/S y soporte multiplataforma: permite que el módulo de administración que se ejecuta en una plataforma controle el módulo de monitoreo que se ejecuta en otra plataforma.
Tecnología para implementar firewalls
La implementación de firewalls se puede dividir aproximadamente en dos tipos: filtrado de mensajes y puerta de enlace de capa de aplicación.
El filtrado de mensajes se implementa en la capa IP, por lo tanto, se puede completar utilizando únicamente enrutadores. El filtrado de paquetes determina si se permite que el paquete pase según la dirección IP de origen, la dirección IP de destino, el puerto de origen, el puerto de destino y la dirección de transmisión del paquete. Ahora también hay un filtro de mensajes inteligente que puede analizar el contenido del área de datos del mensaje.
Los filtros de paquetes se utilizan ampliamente porque el tiempo que emplea la CPU en procesar el filtrado de paquetes es insignificante. Además, esta medida de protección es transparente para los usuarios y los usuarios legítimos no pueden sentir su existencia en absoluto al entrar y salir de la red, lo que hace que su uso sea muy cómodo. Otra debilidad clave del filtrado de paquetes es que no puede filtrar a nivel de usuario, es decir, no puede identificar diferentes usuarios y evitar el robo de direcciones IP. Si un atacante establece la dirección IP de su propio host como la de un host legítimo, puede pasar fácilmente el filtro de paquetes.
Las debilidades del filtrado de paquetes se pueden resolver con gateways de capa de aplicación. Hay muchas formas de implementar firewalls en la capa de aplicación. Los siguientes son varios diseños e implementaciones de firewalls en la capa de aplicación.
1. Application Gateway Proxy
Proporciona servicios de proxy y verificación de autorización en la capa de aplicación de red. Cuando un host externo intenta acceder a la red protegida, primero debe pasar la autenticación de identidad en el firewall. Después de la autenticación, el firewall ejecuta un programa diseñado específicamente para que la red conecte el host externo al host interno.
En este proceso, el firewall puede restringir los hosts a los que acceden los usuarios, el tiempo de acceso y los métodos de acceso. De manera similar, cuando los usuarios dentro de una red protegida acceden a la red externa, primero deben iniciar sesión en el firewall y pasar la verificación antes de poder acceder.
La ventaja de aplicar un proxy de puerta de enlace es que puede ocultar la dirección IP interna y autorizar a un solo usuario. Incluso si el atacante roba una dirección IP legal, no podrá pasar una autenticación de identidad estricta. Por lo tanto, la puerta de enlace de aplicaciones tiene mayor seguridad que el filtrado de paquetes. Sin embargo, este tipo de autenticación hace que la puerta de enlace de la aplicación sea opaca y los usuarios deben autenticarse cada vez que se conectan, lo que genera muchos inconvenientes para los usuarios. Esta tecnología de proxy requiere escribir programas especializados para cada aplicación.
2. Servidor proxy a nivel de bucle
Es un servidor proxy en el sentido habitual. Es adecuado para múltiples protocolos, pero no puede interpretar protocolos de aplicación y necesita obtener información a través de él. otros métodos, por lo tanto, los servidores proxy a nivel de bucle generalmente requieren programas de usuario modificados.
Sockets Server es un servidor proxy a nivel de bucle. Los sockets son un estándar internacional para la capa de aplicación de red. Cuando un cliente de red protegida necesita intercambiar información con la red externa, el servidor de socket en el firewall verifica la ID de usuario, la dirección IP de origen y la dirección IP de destino del cliente. Después de la confirmación, el servidor de socket establece una conexión con el servidor externo. Para los usuarios, el intercambio de información entre la red protegida y la red externa es transparente y no se siente la existencia del firewall. Esto se debe a que los usuarios de la red no necesitan iniciar sesión en el firewall. Sin embargo, el software de la aplicación cliente debe admitir la "API Socketsified", y las direcciones IP utilizadas por los usuarios de la red protegida para acceder a la red pública también son las direcciones IP del firewall.
3. Servidor alojado
La tecnología de servidor alojado coloca servicios inseguros como FTP, Telnet, etc. en el firewall para que pueda actuar como servidor al mismo tiempo y responder a ellos. solicitudes externas. En comparación con la implementación del proxy de la capa de aplicación, la tecnología de servidor administrado no requiere programación especial para cada servicio. Además, cuando los usuarios internos de la red protegida quieren acceder a la red externa, primero deben iniciar sesión en el firewall y luego realizar una solicitud. De esta manera, solo se puede ver el firewall desde la red externa, ocultando así la red interna. abordar y mejorar la seguridad sexual.
4. Túneles IP
Si dos filiales de una gran empresa están muy alejadas, se comunican a través de Internet. En este caso, los túneles IP se pueden utilizar para evitar que los piratas informáticos en Internet intercepten información, formando así una red corporativa virtual en Internet.
5. Traductor de direcciones de red (Traducción de direcciones de red NAT)
Cuando la red protegida está conectada a Internet, los usuarios de la red protegida deben utilizar una NAT legal para acceder a Internet. Dirección IP. Sin embargo, las direcciones IP legales de Internet son limitadas y las redes protegidas suelen tener su propio conjunto de planes de direcciones IP (direcciones IP informales). Un convertidor de direcciones de red instala un conjunto de direcciones IP legales en el firewall. Cuando un usuario interno desea acceder a Internet, el firewall selecciona dinámicamente una dirección no asignada del conjunto de direcciones y se la asigna al usuario, y el usuario puede utilizar esta dirección legal para comunicarse. Al mismo tiempo, para algunos servidores internos, como los servidores web, el convertidor de direcciones de red permite asignarles una dirección legal fija. Los usuarios de la red externa pueden acceder al servidor interno a través del firewall. Esta tecnología no solo alivia la contradicción entre una pequeña cantidad de direcciones IP y una gran cantidad de hosts, sino que también oculta las direcciones IP de los hosts internos del exterior, mejorando la seguridad.
6. Servidor de nombres de dominio dividido
Esta tecnología utiliza un firewall para aislar el servidor de nombres de dominio de la red protegida del servidor de nombres de dominio de la red externa, de modo que el nombre de dominio. servidor de la red externa El servidor de nombres de dominio solo puede ver la dirección IP del firewall y no puede comprender la situación específica de la red protegida. Esto garantiza que la red externa no conozca la dirección IP de la red protegida.
7. Reenvío de correo
Cuando el firewall utiliza las tecnologías mencionadas anteriormente para que la red externa solo conozca la dirección IP y el nombre de dominio del firewall, el correo electrónico enviado desde la red externa El correo entrante sólo se puede enviar al firewall.
En este momento, el firewall verifica el correo. Solo cuando el host de origen que envía el correo puede pasar, el firewall convierte la dirección de destino del correo y la envía al servidor de correo interno para su reenvío.
La arquitectura y combinación de firewalls
1. Screening Router (Screening Router)
Este es el componente más básico del firewall. Puede implementarse mediante un enrutador producido especialmente por el fabricante o puede implementarse mediante un host. Como único canal para conexiones internas y externas, el enrutador blindado requiere que todos los paquetes pasen la inspección aquí. Los enrutadores se pueden instalar con software de filtrado de paquetes basado en la capa IP para implementar funciones de filtrado de paquetes. Muchos enrutadores vienen con opciones de configuración de filtrado de paquetes, pero generalmente son relativamente simples.
La zona de peligro de un firewall compuesto únicamente por enrutadores blindados incluye el enrutador en sí y los hosts a los que el enrutador permite el acceso. Su desventaja es que es difícil de detectar una vez comprometido y no puede identificar a diferentes usuarios.
2. Puerta de enlace de doble inicio
Esta configuración utiliza un host bastión equipado con dos tarjetas de red como firewall. Las dos tarjetas de red están conectadas respectivamente a la red protegida y a la red externa. El software de firewall se ejecuta en el host bastión, que puede reenviar aplicaciones, proporcionar servicios, etc.
La ventaja de la puerta de enlace del host de doble orificio sobre el enrutador blindado es que el software del sistema del host bastión se puede utilizar para mantener registros del sistema, registros de copia de hardware o registros remotos. Esto es útil para futuras inspecciones. Pero esto no ayuda a los administradores de red a identificar qué hosts de la intranet pueden haber sido pirateados.
Una debilidad fatal de la puerta de enlace del host de doble orificio es que una vez que un intruso invade el host bastión y hace que solo tenga funciones de enrutamiento, cualquier usuario en línea puede acceder a la intranet a voluntad.
3. Puerta de enlace de host apantallada (Screened Host Gateway)
La puerta de enlace de host apantallada es fácil de implementar y segura, por lo que se utiliza ampliamente. Por ejemplo, un enrutador de filtrado de paquetes está conectado a la red externa y un host bastión está instalado en la red interna. Las reglas de filtrado generalmente se configuran en el enrutador y el host bastión es el único host al que se puede acceder directamente desde la red externa. que la red interna no pueda ser atacada por usuarios externos no autorizados.
Si la red protegida es una red local virtual extendida, es decir, no hay subredes ni enrutadores, los cambios en la red interna no afectarán la configuración del host bastión ni del enrutador de protección. La zona de peligro se limita a hosts bastión y enrutadores blindados. La estrategia de control básica de la puerta de enlace está determinada por el software instalado en ella. Si un atacante logra iniciar sesión, el resto de hosts de la intranet corren un gran riesgo. Esto es similar a la situación cuando se ataca una puerta de enlace de host de doble hogar.
4. Subred Apantallada
Este método consiste en establecer una subred aislada entre la red interna y la red externa, utilizando dos enrutadores de filtrado de paquetes. Separe esta subred de la red interna y la externa. red. En muchas implementaciones, se colocan dos enrutadores de filtrado de paquetes en cada extremo de una subred, formando una DMZ de "zona desmilitarizada" dentro de la subred. Algunas subredes blindadas también tienen un host bastión como único punto de acceso para admitir la interacción del terminal o servir como proxy de puerta de enlace de aplicaciones. La zona de peligro de esta configuración solo incluye hosts bastión, hosts de subred y todos los enrutadores que conectan la red interna, la red externa y las subredes protegidas.
Si un atacante intentara vulnerar completamente el firewall, tendría que reconfigurar los routers que conectan las tres redes sin cortar la conexión y sin bloquearse y sin hacerse descubrir, lo que aún sería posible. de. Pero si el acceso a la red del enrutador está deshabilitado o solo se permite el acceso a ciertos hosts de la red interna, el ataque se vuelve difícil. En este caso, el atacante primero debe invadir el host bastión, luego ingresar al host de la intranet y luego regresar para destruir el enrutador de protección, sin activar una alarma en todo el proceso.
Al construir un firewall, rara vez se utiliza una sola tecnología. Generalmente es una combinación de múltiples tecnologías que resuelven diferentes problemas. Esta combinación depende principalmente del tipo de servicios que el centro de gestión de red proporciona a los usuarios y del nivel de riesgo que puede aceptar el centro de gestión de red. La tecnología a adoptar depende principalmente de factores como la financiación, el tamaño de la inversión o las habilidades y el tiempo del personal técnico.
Generalmente, existen las siguientes formas:
1. Utilizar múltiples hosts bastión;
2. Fusionar enrutadores internos y enrutadores externos
3. y enrutador externo;
4. Fusionar el host bastión y el enrutador interno;
5. Usar múltiples enrutadores internos;
6. p>
7. Utilice múltiples redes circundantes;
8. Utilice alojamiento dual y subredes blindadas.
Firewall Interno
El propósito de establecer un firewall es proteger la red interna de intrusiones desde la red externa. A veces, por algunas razones, también necesitamos proteger algunos sitios de la intranet de ataques de otros sitios internos. Por lo tanto, en ocasiones necesitamos configurar un firewall (también llamado firewall interno) entre dos partes de una misma estructura, o entre dos estructuras organizativas diferentes en la misma intranet.
La tendencia de desarrollo futuro de los firewalls
En la actualidad, la tecnología de firewall ha atraído la atención de la gente con el desarrollo de nuevas tecnologías, el uso mixto de tecnología de filtrado de paquetes, tecnología de servicio proxy y otros. Nuevas tecnologías El cortafuegos tecnológico se nos viene encima.
Cada vez más aplicaciones del lado del cliente y del servidor admiten de forma nativa métodos de servicio proxy. Por ejemplo, muchos paquetes de software de servicio al cliente WWW tienen capacidades de proxy, y muchos software como SOCKS también admiten servicios similares a proxy cuando se ejecutan y compilan.
Los sistemas de filtración de paquetes se están desarrollando en una dirección más flexible y multifuncional. Por ejemplo, en el sistema de filtrado dinámico de paquetes, el enrutador puede configurar de manera flexible y rápida las reglas de filtrado de paquetes en CheckPoint Firewall-1, Karl Brige/Karl Brouter y Morning Star Secure Connect. Un paquete UDP saliente puede hacer que el UDP de respuesta de permiso correspondiente cree una regla de filtrado de paquetes temporal, permitiendo que su paquete UDP correspondiente ingrese a la intranet.
Los primeros sistemas, conocidos como productos de “tercera generación”, han comenzado a salir al mercado. Por ejemplo, el producto Border de Border Network Technology y el producto Gauntlet 3.0 de Truest Information Systems parecen un servicio proxy de afuera hacia adentro (cualquier solicitud de servicio externo proviene del mismo host) y parecen un sistema de filtrado de paquetes de adentro hacia afuera (. Los usuarios internos piensan que están interactuando directamente con la red externa). Estos productos proporcionan artefactos relevantes tanto dentro como fuera del firewall a través de sistemas de contabilidad y modificación por lotes de paquetes para una gran cantidad de solicitudes de conexión salientes a la intranet. El producto Karl Bridge/Karl Brouter amplía el alcance del filtrado de paquetes ampliando el filtrado y la autorización de paquetes en la capa de aplicación. Esto es mucho más granular que el filtrado de paquetes tradicional.
Actualmente, se está diseñando un nuevo protocolo IP (también conocido como IP versión 6). Los cambios en los protocolos IP tendrán un profundo impacto en el establecimiento y funcionamiento de cortafuegos. Al mismo tiempo, se puede echar un vistazo al flujo de información de la mayoría de las máquinas en la red actual, pero las tecnologías de red más nuevas, como la retransmisión de tramas y el modo de transferencia asíncrona (ATM), pueden enviar directamente la dirección de origen del paquete de datos a la dirección de destino, por lo que Evitar que se filtre el flujo de información durante la transmisión.