Screened Host Un paso más en términos de seguridad de los cortafuegos es la arquitectura screened host o choke-gate, que combina un router con un host bastión, y donde el principal nivel de seguridad proviene del filtrado de paquetes (es decir, el router es la primera y más importante línea de defensa). En la máquina bastión, único sistema accesible desde el exterior, se ejecutan los proxies de las aplicaciones, mientras que el choke se encarga de filtrar los paquetes que se puedan considerar peligrosos para la seguridad de la red interna, permitiendo únicamente la comunicación con un reducido número de servicios. Pero, >dónde situar el sistema bastión, en la red interna o en el exterior del router? La mayoría de autores ([
Ran93], [
Sem96]...) recomiendan situar el router entre la red exterior y el host bastión, pero otros ([
WC94]) defienden justo lo contrario: situar el bastión en la red exterior no provoca aparentemente una degradación de la seguridad, y además ayuda al administrador a comprender la necesidad de un elevado nivel de fiabilidad en esta máquina, ya que está sujeta a ataques externos y no tiene por qué ser un host fiable; de cualquier forma, la `no degradación' de la seguridad mediante esta aproximación es más que discutible, ya que habitualmente es más fácil de proteger un router que una máquina con un operativo de propósito general, como Unix, que además por definición ha de ofrecer ciertos servicios: no tenemos más que fijarnos en el número de problemas de seguridad que afectan a por ejemplo a IOS (el sistema operativo de los routers Cisco), muy reducido frente a los que afectan a diferentes flavours de Unix. En todo caso, aparte de por estos matices, asumiremos la primera opción por considerarla mayoritaria entre los expertos en seguridad informática; así, cuando una máquina de la red interna desea comunicarse con el exterior existen dos posibilidades:
El choke permite la salida de algunos servicios a todas o a parte de las máquinas internas a través de un simple filtrado de paquetes.
El choke prohibe todo el tráfico entre máquinas de la red interna y el exterior, permitiendo sólo la salida de ciertos servicios que provienen de la máquina bastión y que han sido autorizados por la política de seguridad de la organización. Así, estamos obligando a los usuarios a que las conexiones con el exterior se realicen a través de los servidores proxy situados en el bastión. La primera aproximación entraña un mayor nivel de complejidad a la hora de configurar las listas de control de acceso del router, mientras que si elegimos la segunda la dificultad está en configurar los servidores proxy (recordemos que no todas las aplicaciones soportan bien estos mecanismos) en el host bastión. Desde el punto de vista de la seguridad es más recomendable la segunda opción, ya que la probabilidad de dejar escapar tráfico no deseado es menor. Por supuesto, en función de la política de seguridad que definamos en nuestro entorno, se pueden combinar ambas aproximaciones, por ejemplo permitiendo el tráfico entre las máquinas internas y el exterior de ciertos protocolos difíciles de encaminar a través de un proxy o sencillamente que no entrañen mucho riesgo para nuestra seguridad (típicamente, NTP, DNS...), y obligando para el resto de servicios a utilizar el host bastión. La arquitectura screened host puede parecer a primera vista más peligrosa que la basada en una simple máquina con varias interfaces de red; en primer lugar, tenemos no uno sino dos sistemas accesibles desde el exterior, por lo que ambos han de ser configurados con las máximas medidas de seguridad. Además, la mayor complejidad de diseño hace más fácil la presencia de errores que puedan desembocar en una violación de la política implantada, mientras que con un host con dos tarjetas nos aseguramos de que únicamente aquellos servicios con un proxy configurado podrán generar tráfico entre la red externa y la interna (a no ser que por error activemos el IP Forwarding). Sin embargo, aunque estos problemas son reales, se solventan tomando las precauciones necesarias a la hora de diseñar e implantar el cortafuegos y definiendo una política de seguridad correcta. De cualquier forma, en la práctica esta arquitectura de cortafuegos está cada vez más en desuso debido a que presenta dos puntos únicos de fallo, el choke y el bastión: si un atacante consigue controlar cualquiera de ellos, tiene acceso a toda la red protegida; por tanto, es más popular, y recomendable, una arquitectura screened subnet, de la que vamos a hablar a continuación.
Sistema:El COMWALL de Nostracom® es un cortafuegos de altas prestaciones que ofrece stateful firewall protection, QoS, VPN tanto con IPSec como con PPTP permitiendo un control riguroso y seguro sobre la conectividad con el mundo exterior fuera de su empresa.El COMWALL es una solución basada en sistemas UNIX BSD embebidos y ocupa solo 6 MB en una tarjeta compact flash. Es capaz de gestionar tráfico de hasta 1Gbps incluyendo sesiones NAT.La configuración se realiza a través del sencillo e intuitivo interfaz web (con soporte SSL) a través del cual se pueden realizar todas las tareas necesarias en un cortafuegos de altas prestaciones y almacenando la configuración en XML.Características:
-Configuración vía web con soporte SSL y posibilidad de cambiar el puerto web (administración desde la parte LAN).
-Acceso vía consola para recuperación.
-Configuración del direccionamiento LAN.–Establecer o restablecer la contraseña.
-Establecer configuración por defecto.–Reinicio del sistema (también vía web).
-Soporte 802.1Q VLAN.
-Filtración dinámica de paquetes con inspección de estados.
-Reglas de Rechazo/Bloqueo/Aceptación.
-Registro de actividad de las propias reglas.
-Gestión de ancho de banda, gestión de colas, asignación de caudales y filtro inteligente para tráfico peer to peer.
-Alias de redes y máquinas para facilitar la administración.
-NAT y PAT (incluyendo 1:1).
-Servidor DHCP para la LAN.
-Servidor IPSec con soporte IKE para tarjetas cifradas y clientes móviles.
-Servidor PPTP con soporte RADIUS y lista de usuarios local.
-Servidor DNS Caché (forwarder).
-Proxy ARP.
-Portal cautivo (gateway con autenticación).
-Almacenamiento de cuentas en RADIUS.
-Personalización de páginas de acceso y error.
-Funciona como cliente NTP, DHCP, PPPoE (xDSL), PPTP, DynDNS en la parte WAN.
-Soporta rutas estáticas.
-Agente SNMP.
-Cliente Wake on LAN.
-Gráficos de tráfico por interfaces en tiempo real.
-Estadísiticas de las diferentes interfaces de red.
-Acceso a logs de sistema, cortafuegos y DHCP vía web con soporte de logging remoto a través de syslog.
-Actualización del firmware vía web.
-Respaldo y restauración de configuración vía web.
