Siguiente: Dual-Homed Host
Subir: Arquitecturas de cortafuegos
Anterior: Arquitecturas de cortafuegos
Índice General
Un firewall sencillo puede consistir en un dispositivo capaz de filtrar
paquetes, un choke: se trata del modelo de cortafuegos más antiguo
([Sch97]), basado simplemente en aprovechar la capacidad de algunos
routers - denominados screening routers - para hacer un enrutado
selectivo, es decir, para bloquear o permitir el tránsito de paquetes mediante
listas de control de acceso en función de ciertas características de las
tramas, de forma que el router actue como pasarela de toda la red.
Generalmente estas
características para determinar el filtrado son las direcciones origen y
destino, el protocolo, los puertos origen y destino (en el caso de TCP y
UDP), el tipo de mensaje (en el caso de ICMP) y los interfaces de
entrada y salida de la trama en el router.
En un cortafuegos de filtrado de paquetes los accesos desde la red interna al
exterior que no están bloqueados son directos (no hay necesidad de utilizar
proxies, como sucede en los cortafuegos basados en una máquina con dos
tarjetas de red), por lo que esta arquitectura es la más simple de
implementar (en muchos casos sobre hardware ya ubicado en la red) y la
más utilizada en organizaciones que no precisan grandes niveles de seguridad
- como las que vemos aquí -. No obstante, elegir un cortafuegos tan
sencillo puede no ser recomendable
en ciertas situaciones, o para organizaciones que requieren una mayor seguridad
para su subred, ya que los simples chokes presentan más desventajas que
beneficios para la red protegida. El principal problema es que no disponen de
un sistema de monitorización sofisticado, por lo que muchas veces el
administrador no puede determinar si el router está siendo atacado o si
su seguridad ha sido comprometida. Además las reglas de filtrado pueden llegar
a ser complejas de establecer, y por tanto es difícil comprobar su
corrección: habitualmente sólo se comprueba a través de pruebas directas,
con los problemas de seguridad que esto puede implicar.
Si a pesar de esto decidimos utilizar un router como filtro de
paquetes, como en cualquier firewall es recomendable bloquear todos los
servicios que no se utilicen desde
el exterior (especialmente NIS, NFS, X-Window y TFTP), así como el acceso
desde máquinas no confiables hacia nuestra subred; además, es también
importante para nuestra seguridad bloquear los paquetes con encaminamiento en
origen activado.
Siguiente: Dual-Homed Host
Subir: Arquitecturas de cortafuegos
Anterior: Arquitecturas de cortafuegos
Índice General
2003-08-08