El concepto de firewall

El concepto de firewall

Por supuesto, dado que planeamos comprenderlo de lo más superficial a lo más profundo, primero debemos mirar el concepto de firewall. Firewall es el nombre de un componente de un automóvil. En los automóviles, se utiliza un cortafuegos para separar a los pasajeros del motor, de modo que si el motor del automóvil se incendia, el cortafuegos no sólo puede proteger la seguridad de los pasajeros, sino también permitir que el conductor continúe controlando el motor. En terminología informática, por supuesto, no significa esto. Podemos entenderlo por analogía. En la red, el llamado firewall se refiere a un método para separar la red interna de la red de acceso público (como Internet). en realidad una especie de firewall. Un firewall es un estándar de control de acceso que se implementa cuando dos redes se comunican. Permite que las personas y los datos que usted acepta ingresen a su red, mientras bloquea a las personas y los datos con los que no está de acuerdo para evitar que los piratas informáticos accedan. su red. En otras palabras, sin pasar por el firewall, las personas dentro de la empresa no pueden acceder a Internet y las personas en Internet no pueden comunicarse con las personas dentro de la empresa.

Función del firewall

Un firewall es una barrera para la seguridad de la red:

Un firewall (como punto de bloqueo, punto de control) puede mejorar enormemente la seguridad de seguridad de la red interna y reducir el riesgo filtrando servicios inseguros. Dado que sólo los protocolos de aplicación cuidadosamente seleccionados pueden atravesar el firewall, el entorno de red se vuelve más seguro. Por ejemplo, el firewall puede prohibir que protocolos inseguros conocidos, como NFS, entren y salgan de la red protegida, de modo que los atacantes externos no puedan utilizar estos protocolos vulnerables para atacar la red interna. Los firewalls también protegen la red de ataques basados ​​en rutas, como ataques de enrutamiento de origen en opciones de IP y rutas de redireccionamiento en redirecciones ICMP. El firewall debería poder rechazar todos los tipos de paquetes de ataque anteriores y notificar al administrador del firewall.

Los firewalls pueden fortalecer las políticas de seguridad de la red:

A través de la configuración de la solución de seguridad centrada en el firewall, todo el software de seguridad (como contraseñas, cifrado, autenticación de identidad, auditoría, etc.) puede ser configurado en el firewall. La gestión de seguridad centralizada de los firewalls es más rentable que difundir los problemas de seguridad de la red a hosts individuales. Por ejemplo, durante el acceso a la red, el sistema de contraseña de un solo uso y otros sistemas de autenticación de identidad no necesitan estar dispersos en varios hosts, sino concentrados en el firewall.

Monitorear y auditar el acceso y el acceso a la red:

Si todo el acceso pasa a través del firewall, entonces el firewall puede registrar estos accesos y realizar registros, y también puede proporcionar estadísticas de uso de la red. . Cuando ocurren acciones sospechosas, el firewall puede emitir alarmas apropiadas y proporcionar información detallada sobre si la red está siendo monitoreada y atacada. Además, también es muy importante recopilar el uso y mal uso de una red. La primera razón es saber si el firewall puede resistir la detección y los ataques de atacantes, y si los controles del firewall son adecuados. Las estadísticas de uso de la red también son muy importantes para el análisis de la demanda de la red y el análisis de amenazas.

Evite la fuga de información interna:

Al utilizar firewalls para dividir la red interna, se pueden aislar segmentos clave de la red de la intranet, limitando así los problemas de seguridad de la red sensible o de claves locales. Impacto en la red global. Además, la privacidad es un tema de gran preocupación en las redes internas. Los detalles discretos en una red interna pueden contener pistas sobre la seguridad y despertar el interés de atacantes externos, e incluso exponer ciertas vulnerabilidades de seguridad de la red interna. El uso de un firewall puede ocultar servicios que revelan detalles internos como Finger y DNS. Finger muestra los nombres registrados, los nombres reales, la hora del último inicio de sesión y el tipo de shell de todos los usuarios del host. Sin embargo, los atacantes pueden aprender muy fácilmente la información mostrada por Finger. Un atacante puede saber con qué frecuencia se utiliza un sistema, si los usuarios de este sistema están conectados a Internet, si este sistema llama la atención cuando es atacado, etc. Los firewalls también pueden bloquear la información DNS sobre la red interna para que el mundo exterior no conozca el nombre de dominio y la dirección IP de un host.

Además de la función de seguridad, el firewall también admite VPN (red privada virtual), un sistema de tecnología de red empresarial interna con características de servicio de Internet.

Clasificación de firewalls

Según los diferentes estándares de clasificación de firewalls, los firewalls se pueden dividir en N tipos. Lo que seguimos aquí es, por supuesto, la clasificación basada en la arquitectura de la red. Según este estándar, pueden existir los siguientes tipos de firewalls:

1. Firewalls a nivel de red

Generalmente basados ​​en direcciones, aplicaciones o protocolos de origen y destino, y en cada puerto de paquetes IP al que se dirige. emitir un juicio de aprobación o desaprobación. Un enrutador es un firewall tradicional a nivel de red. La mayoría de los enrutadores pueden verificar esta información para decidir si reenviar el paquete recibido, pero no pueden determinar de dónde proviene un paquete IP y hacia dónde se dirige.

Los firewalls avanzados a nivel de red pueden determinar esto. Pueden proporcionar información interna para describir el estado de la conexión pasada y el contenido de algunos flujos de datos, y comparar la información determinada con la tabla de reglas. Se definen varias reglas para indicar si se aprueba o deniega el paso de un paquete. Los cortafuegos de filtrado de paquetes examinan cada regla hasta que se determina que la información del paquete coincide con una regla. Si no se cumple ninguna regla, el firewall utilizará la regla predeterminada. En circunstancias normales, la regla predeterminada requiere que el firewall descarte el paquete. En segundo lugar, al definir el número de puerto en función de los paquetes TCP o UDP, el firewall puede determinar si permite el establecimiento de conexiones específicas, como conexiones Telnet y FTP.

Las siguientes son las reglas de control de acceso de un determinado firewall a nivel de red:

(1) Permitir que la red 123.1.0 use FTP (puerto 21) para acceder al host 150.0.0.1

(2) Permitir que los usuarios con direcciones IP 202.103.1.18 y 202.103.1.14 a Telnet (puerto 23) alojen 150.0.0.2

(3) Permitir correo electrónico desde; cualquier dirección (25 puertos) en el host 150.0.0.3

(4) Permitir el paso de cualquier dato WWW (puerto 80)

(5) No permitir otros paquetes de datos; para entrar.

Los firewalls a nivel de red son simples, rápidos, de bajo costo y transparentes para los usuarios, pero su protección para la red es muy limitada porque solo verifican direcciones y puertos y no tienen la capacidad de comprender información en niveles superiores. Capas de protocolo de la red.

2. Puerta de enlace a nivel de aplicación

La puerta de enlace a nivel de aplicación es lo que a menudo llamamos un servidor proxy. Puede verificar paquetes de datos entrantes y salientes, copiar y transmitir datos a través de la puerta de enlace. y evitar la comunicación entre servidores confiables y Se establece una conexión directa entre el cliente y el host que no es confiable. La puerta de enlace a nivel de aplicación puede comprender los protocolos en la capa de aplicación, realizar un control de acceso más complejo y realizar registros y auditorías detalladas. Sin embargo, cada protocolo requiere el software proxy correspondiente, lo que requiere una gran carga de trabajo y no es tan eficiente como un firewall a nivel de red.

Los firewalls a nivel de aplicaciones de uso común ya tienen servidores proxy correspondientes, como: HTTP, NNTP, FTP, Telnet, rlogin, X-windows, etc. Sin embargo, no existe un proxy correspondiente para las aplicaciones recientemente desarrolladas. servicios, pasarán a través de firewalls a nivel de red y servicios de proxy generales.

Las puertas de enlace a nivel de aplicación tienen un mejor control de acceso y actualmente son la tecnología de firewall más segura, pero son difíciles de implementar y algunas puertas de enlace a nivel de aplicación carecen de "transparencia". En el uso real, cuando los usuarios acceden a Internet a través de un firewall en una red confiable, a menudo encuentran que hay un retraso y deben iniciar sesión varias veces para acceder a Internet o a la intranet.

3. Puerta de enlace a nivel de circuito

La puerta de enlace a nivel de circuito se utiliza para monitorear la información del protocolo de enlace TCP entre un cliente o servidor confiable y un host que no es confiable para determinar si la sesión es legal. Las puertas de enlace a nivel de circuito filtran paquetes de datos en la capa de sesión en el modelo OSI, que es dos capas más altas que los firewalls de filtrado de paquetes.

De hecho, la puerta de enlace a nivel de circuito no existe como un producto independiente. Se combina con otras puertas de enlace a nivel de aplicación, como Gauntlet Internet Firewall de TrustInformationSystems; AltaVista Firewall de DEC y otros productos.

Además, la puerta de enlace a nivel de circuito también proporciona una función de seguridad importante: el servidor proxy (ProxyServer). El servidor proxy es un firewall que ejecuta un proceso llamado "transferencia de direcciones" para asignar todas las direcciones IP internas de su empresa a una ". Dirección IP "segura", esta dirección la utilizan los firewalls. Sin embargo, también existen algunos inconvenientes como puerta de enlace a nivel de circuito. Debido a que la puerta de enlace funciona en la capa de sesión, no puede inspeccionar paquetes de datos a nivel de aplicación.

4. Firewall de inspección de reglas

Este firewall combina las características de un firewall de filtrado de paquetes, una puerta de enlace a nivel de circuito y una puerta de enlace a nivel de aplicación. Al igual que el firewall de filtrado de paquetes, el firewall de inspección de reglas puede filtrar paquetes de datos entrantes y salientes a través de direcciones IP y números de puerto en la capa de red OSI. También actúa como una puerta de enlace a nivel de circuito y puede verificar si los marcadores SYN y ACK y los números de secuencia están ordenados lógicamente. Por supuesto, al igual que una puerta de enlace a nivel de aplicación, puede verificar el contenido de los paquetes de datos en la capa de aplicación OSI para ver si el contenido cumple con las reglas de seguridad de la red de la empresa.

Aunque el firewall de inspección de reglas integra las características de los tres primeros, se diferencia de una puerta de enlace a nivel de aplicación en que no rompe el modelo cliente/servidor para analizar datos de la capa de aplicación. El cliente establece una conexión directa con el host que no es de confianza. Los cortafuegos de verificación de reglas no dependen de agentes relacionados con la capa de aplicación, sino que se basan en ciertos algoritmos para identificar los datos entrantes y salientes de la capa de aplicación. Estos algoritmos comparan los paquetes de datos entrantes y salientes a través de patrones de paquetes de datos legítimos conocidos, de modo que, en teoría, se utilizan. Se puede comparar con la capa de aplicación. Los servidores proxy son más efectivos para filtrar paquetes.

La mayoría de los firewalls actualmente populares en el mercado son firewalls de verificación de reglas, porque el firewall es transparente para los usuarios y cifra los datos al más alto nivel de OSI. No requiere que usted modifique el programa cliente, ni tampoco. ¿Requiere que modifique el programa cliente? Los servicios que requieren ejecutarse en el firewall requieren un proxy adicional. Por ejemplo, OnGuard, producido por OnTechnology Software Company, uno de los firewalls más populares, y FireWall-1, producido por CheckPoint Software Company, son firewalls de verificación de reglas.

Desde una perspectiva de tendencias, los firewalls futuros se ubicarán entre los firewalls a nivel de red y los firewalls a nivel de aplicación. Es decir, los firewalls a nivel de red serán más capaces de identificar la información pasada, mientras que los firewalls a nivel de aplicación. Los cortafuegos son actualmente La función se desarrolla hacia la transparencia y los aspectos de bajo nivel. El firewall definitivo será un sistema de auditoría de registro rápido que proteja los datos a medida que pasan de forma cifrada, lo que permitirá a todas las organizaciones mover datos entre nodos con confianza.